監査ログ アクティビティ
この記事の表では、Microsoft 365 で監査されるアクティビティについて説明します。 これらのアクティビティを検索する場合は、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで監査ログを検索します。
以下の表は、関連するアクティビティまたは特定のサービスのアクティビティをグループ別にまとめたものです。 テーブルには、[ アクティビティ ] ドロップダウン リスト (または PowerShell で使用できる) に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。 詳細については、「 監査ログの詳細なプロパティ」を参照してください。
ヒント
特定の製品テーブルに直接移動するには、この記事の上部にある [ この記事 の一覧で] のいずれかのリンクを選択します。
アプリケーション管理アクティビティ
次の表に、管理者がMicrosoft Entra IDに登録されているアプリケーションを追加または変更したときにログに記録されるアプリケーション管理アクティビティの一覧を示します。 認証にMicrosoft Entra IDに依存するアプリケーションは、ディレクトリに登録する必要があります。
注:
次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 委任エントリが追加されました | 委任エントリを追加します。 | 認証アクセス許可が、Microsoft Entra IDのアプリケーションに対して作成または付与されました。 |
| サービス プリンシパルの追加 | サービス プリンシパルを追加します。 | アプリケーションがMicrosoft Entra IDに登録されました。 アプリケーションは、ディレクトリ内のサービス プリンシパルによって表されます。 |
| サービス プリンシパルへの資格情報の追加 | サービス プリンシパル資格情報を追加します。 | 資格情報は、Microsoft Entra IDのサービス プリンシパルに追加されました。 サービス 原則は、ディレクトリ内のアプリケーションを表します。 |
| 委任エントリの削除 | 委任エントリを削除します。 | Microsoft Entra IDのアプリケーションから認証アクセス許可が削除されました。 |
| ディレクトリからのサービス プリンシパルの削除 | サービス プリンシパルを削除します。 | アプリケーションがMicrosoft Entra IDから削除または登録解除されました。 アプリケーションは、ディレクトリ内のサービス プリンシパルによって表されます。 |
| サービス プリンシパルからの資格情報の削除 | サービス プリンシパル資格情報を削除します。 | 資格情報は、Microsoft Entra IDのサービス プリンシパルから削除されました。 サービス 原則は、ディレクトリ内のアプリケーションを表します。 |
| 委任エントリの設定 | 委任エントリを設定します。 | Microsoft Entra IDのアプリケーションの認証アクセス許可が更新されました。 |
ブリーフィング メール アクティビティ
次の表に、Microsoft 365 監査ログに記録されるブリーフィング メールのアクティビティを示します。 ブリーフィング メールの詳細については、下記を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 更新された組織のプライバシー設定 | UpdatedOrganizationBriefingSettings | 管理者が、ブリーフィング メールの組織のプライバシー設定を更新します。 |
| 更新されたユーザー プライバシーの設定 | UpdatedUserBriefingSettings | 管理者が、ブリーフィング メールのユーザー プライバシー設定を更新します。 |
コミュニケーション コンプライアンス アクティビティ
Microsoft 365 監査ログに記録されるコミュニケーション コンプライアンス アクティビティの一覧を次の表に記載します。 詳細については、「Microsoft Purview コミュニケーション コンプライアンスの詳細」を参照してください。
注:
これらのアクティビティは、 Search-UnifiedAuditLog PowerShell コマンドレットを使用する場合に使用できます。 これらのアクティビティは、[ アクティビティ ] ドロップダウン リストでは使用できません。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| ポリシーの更新 | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | コミュニケーション コンプライアンス管理者がポリシーの更新を実行しました。 |
| ポリシーとの一致 | SupervisionRuleMatch | ユーザーがポリシーの条件に一致するメッセージを送信しました。 |
| メッセージに適用されるタグ | SupervisoryReviewTag | タグがメッセージに適用されるか、またはメッセージが解決されます。 |
コンプライアンス マネージャーのアクティビティ
次の表は、管理者がコンプライアンス マネージャーで設定を管理するときにログに記録される操作とアクティビティの一覧です。 詳細については、「 コンプライアンス マネージャーについて」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| ロールの変更 | ComplianceManagerRolesChange | 管理者がユーザーのロールを変更しました。 |
| テナント自動化レベルの変更 | ComplianceManagerAutomationLevelChange | 管理者は、すべてのアクションでテナントの自動化レベルを変更しました。 |
| ソース自動化の変更のテスト | ComplianceManagerAutomationChange | 管理者がテスト ソースオートメーションの設定を変更しました。 |
コンテンツ エクスプローラー アクティビティ
監査ログに記録されるコンテンツ エクスプローラーのアクティビティの一覧を次の表に記載します。 Microsoft Purview ポータルとコンプライアンス ポータルのデータ分類ツールでアクセスするコンテンツ エクスプローラー。 詳細については、「データ分類コンテンツ エクスプローラーの使用」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 項目がアクセスされました | LabelContentExplorerAccessedItem | 管理者 (またはコンテンツ エクスプローラー コンテンツ ビューアー役割グループのメンバーであるユーザー) は、コンテンツ エクスプローラーを使用して電子メール メッセージまたは SharePoint/OneDrive ドキュメントを表示します。 |
Copilot アクティビティ
次の表に、監査ログに記録されるMicrosoft 365 CopilotとMicrosoft Copilotからのアクティビティを示します。 Copilot には、Microsoft サービス間でアクセスできます。 アクティビティには、ユーザーが Copilot と対話する方法とタイミングが含まれます。 これには、アクティビティが行われた Microsoft サービスと、操作中にアクセスされたファイルへの参照が含まれます。 Copilot の相互作用イベントとスキーマの例の詳細については、「 Copilot の相互作用イベントの概要」を参照してください。
操作中にユーザーのプロンプトからテキストにアクセスするには、「コンテンツ検索」を参照するか、Microsoft Purview AI ハブのアクティビティ エクスプローラーから AI 操作イベントを表示します。
Copilot の監査とその他のコンプライアンス管理オプションの詳細については、「 Microsoft Purview は Copilot のコンプライアンス管理をサポートしています」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| Copilot と対話しました | CopilotInteraction | ユーザーまたは管理者またはシステムが Copilot にプロンプトを入力しました。 |
ディレクトリ管理アクティビティ
次の表Microsoft Entra、管理者がMicrosoft 365 管理センターまたは Azure 管理ポータルでorganizationを管理するときにログに記録されるディレクトリとドメイン関連のアクティビティの一覧です。
注:
次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| ドメインが会社に追加されました | ドメインを会社に追加します。 | 組織にドメインが追加されました。 |
| ディレクトリへのパートナーの追加 | パートナーを会社に追加します。 | パートナー (代理管理者) が組織に追加されました。 |
| 会社からのドメインの削除 | 会社からドメインを削除します。 | 組織からドメインが削除されました。 |
| ディレクトリからのパートナーの削除 | 会社からパートナーを削除します。 | 組織からパートナー (代理管理者) が削除されました。 |
| 会社情報の設定 | 会社情報を設定します。 | 組織の会社情報が更新されました。 Microsoft 365 から送信されたサブスクリプション関連のメール アドレスと、Microsoft 365 サービスに関する技術的な通知が含まれます。 |
| ドメイン認証の設定 | ドメイン認証を設定します。 | 組織のドメイン認証設定が変更されました。 |
| ドメインのフェデレーション設定の更新 | ドメインのフェデレーション設定を行います。 | 組織のフェデレーション (外部共有) 設定が変更されました。 |
| Set password policy | パスワード ポリシーを設定します。 | 組織のユーザー パスワードの長さと文字の制約が変更されました。 |
| Azure AD Syncをオンにする | DirSyncEnabled フラグを設定します。 | Azure AD Sync のディレクトリを有効にするプロパティが設定されました。 |
| ドメインの更新 | ドメインを更新します。 | 組織のドメインの設定が更新されました。 |
| ドメインの検証 | ドメインを確認します。 | 組織がドメインの所有者であるかどうかが検証されました。 |
| メールで確認済みのドメインの検証 | メールで確認されたドメインを確認します。 | メールによる確認を使用して、組織がドメインの所有者であるかどうかが検証されました。 |
処理確認アクティビティ
次の表は、アイテムが構成された保持期間の終了に達したとき、またはアイテムが自動的に次の廃棄ステージに移動されたか、自動適用の結果として完全に削除されたときに処理レビュー担当者が取ったアクティビティの一覧です。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 承認された廃棄 | ApproveDisposal | 手動承認の場合: 廃棄レビュー担当者は、品目を次の処理ステージに移動することを承認しました。 アイテムが処理レビューの一意の段階または最終段階にある場合、廃棄承認ではアイテムを完全な削除の対象としてマークしました。 autoapproval の場合: 構成された自動適用期間内に手動アクションが実行されなかったため、項目は自動的に次の処理ステージに移動されます。 アイテムが廃棄レビューの唯一または最終段階にあった場合、アイテムは自動的に完全削除の対象となりました。 |
| 延長保有期間 | ExtendRetention | 処理レビュー担当者は、アイテムの保持期間を延長しました。 |
| 再ラベル付けされたアイテム | RelabelItem | 処理レビュー担当者がアイテム保持ラベルにもう一度ラベルを付けました。 |
| 追加されたレビュー担当者 | AddReviewer | 処理レビュー担当者は、現在の処理確認段階に 1 人以上の他のユーザーを追加しました。 |
電子情報開示アクティビティ
Microsoft Purview ポータルで実行されるコンテンツ検索および電子情報開示関連のアクティビティ (Microsoft Purview eDiscovery (Standard) とMicrosoft Purview eDiscovery (Premium) の場合)、Microsoft Purview コンプライアンス ポータル、または対応する PowerShell コマンドレットを実行すると、監査ログに記録されます。 管理者または電子情報開示マネージャー (または電子情報開示アクセス許可が割り当てられているユーザー) がポータルで次のコンテンツ検索および電子情報開示 (標準) タスクを実行すると、イベントが記録されます。
- 電子情報開示 (Standard) と電子情報開示 (Premium) ケースの作成と管理。
- コンテンツ検索の作成、開始、編集。
- 検索結果のプレビュー、エクスポート、削除などの検索アクションの実行。
- 電子情報開示 (Premium) でのカストディアンとレビュー セットの管理。
- コンテンツ検索のアクセス許可フィルターの構成。
- 電子情報開示管理者ロールの管理。
監査ログの検索、必要なアクセス許可、検索結果のエクスポートの詳細については、「 監査ログの検索」を参照してください。
注:
[アクティビティ] ドロップダウン リストの [電子情報開示アクティビティ] と [電子情報開示 (Premium) アクティビティ] の下に一覧表示されたアクティビティから得られるアクティビティが検索結果に表示されるまでに最大 30 分かかります。 逆に、電子情報開示コマンドレットのアクティビティの対応するイベントが検索結果に表示されるまでに最大 24 時間かかります。
コンテンツ検索と電子情報開示 (標準) アクティビティ
次の表では、管理者または電子情報開示マネージャーがコンプライアンス ポータルを使用して電子情報開示関連のアクティビティを実行したときに記録されるコンテンツ検索および電子情報開示 (標準) アクティビティについて説明します。 この一覧でアクティビティを検索すると、電子情報開示 (Premium) で実行された一部のアクティビティが返される場合があります。
注:
このセクションに示されている電子情報開示アクティビティは、次のセクションで説明される電子情報開示コマンドレットのアクティビティと同様の情報を示しています。 電子情報開示アクティビティは 30 分以内に監査ログの検索結果に表示されるため、このセクションで示されている電子情報開示アクティビティを使用することをお勧めします。 電子情報開示コマンドレットのアクティビティが監査ログの検索結果に表示されるまでに最大 24 時間かかることがあります。
| フレンドリ名 | 操作 | 対応するコマンドレット | 説明 |
|---|---|---|---|
| 電子情報開示ケースにメンバーが追加されました |
CaseMemberAdded |
Add-ComplianceCaseMember |
ユーザーが電子情報開示ケースのメンバーとして追加されました。 ユーザーはケースのメンバーとして、必要なアクセス許可が割り当てられているかどうかに応じて、ケースに関連するさまざまなタスクを実行できます。 |
| コンテンツ検索が変更されました |
SearchUpdated |
Set-ComplianceSearch |
既存のコンテンツの検索が変更されました。 変更としては、コンテンツの場所の追加または削除、検索クエリの編集などがあります。 |
| 電子情報開示管理者のメンバーシップが変更されました |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
組織の電子情報開示管理者のリストが変更されました。 このアクティビティは、電子情報開示管理者が新しいユーザーのグループに置き換えられた場合にログに記録されます。 1 人のユーザーが追加または削除されると、CaseAdminAdded の操作がログに記録されます。 |
| 電子情報開示ケースが変更されました |
CaseUpdated |
Set-ComplianceCase |
電子情報開示ケースが変更されました。 変更としては、開いているケースを閉じる、閉じたケースを再度開くなどがあります。 |
| 電子情報開示ケースのメンバーシップが変更されました |
CaseMemberUpdated |
Update-ComplianceCaseMember |
電子情報開示ケースのメンバーシップ リストが変更されました。 このアクティビティは、すべてのメンバーが新しいユーザーのグループに置き換えられたときにログに記録されます。 単一のメンバーが追加または削除されると、CaseMemberAdded または CaseMemberRemoved 操作がログに記録されます。 |
| 検索のアクセス許可フィルターが変更されました |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
検索のアクセス許可フィルターが変更されました。 |
| 電子情報開示ケースの保留に対する検索クエリが変更されました |
HoldUpdated |
Set-CaseHoldRule |
電子情報開示ケースに関連付けられたクエリベースの保留が変更されました。 発生する可能性のある変更としては、クエリの編集、クエリベースの保留の日付範囲の編集があります。 |
| コンテンツ検索のプレビュー アイテムがダウンロードされました |
PreviewItemDownloaded |
該当なし |
ユーザーは、検索結果をプレビューするときに ([ 元のアイテムのダウンロード ] リンクを選択して) ローカル コンピューターにアイテムをダウンロードしました。 |
| コンテンツ検索のプレビュー アイテムが一覧されました |
PreviewItemListed |
該当なし |
ユーザーが [プレビュー検索結果 ] を選択してプレビュー検索結果ページを表示し、検索結果から最大 1,000 個の項目を一覧表示します。 |
| コンテンツ検索が作成されました |
SearchCreated |
New-ComplianceSearch |
新しいコンテンツ検索が作成されました。 |
| 電子情報開示管理者が作成されました |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
ユーザーが、組織の電子情報開示管理者として追加されました。 |
| 電子情報開示ケースが作成されました |
CaseAdded |
New-ComplianceCase |
電子情報開示ケースが作成されました。 ケースを作成する際に必要な操作は、名前を付けることだけです。 メンバーの追加、保留の作成、ケースに関連付けられたコンテンツ検索の作成などの他のケース関連のタスクにより、追加のイベントがログに記録されます。 |
| 検索のアクセス許可フィルターが作成されました |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
検索のアクセス許可フィルターが作成されました。 |
| 電子情報開示ケースの保留に対する検索クエリが作成されました |
HoldCreated |
New-CaseHoldRule |
電子情報開示ケースに関連付けられたクエリベースの保留が作成されました。 |
| コンテンツ検索が削除されました |
SearchRemoved |
Remove-ComplianceSearch |
既存のコンテンツ検索が削除されました。 |
| 電子情報開示管理者が削除されました |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
電子情報開示管理者が組織から削除されました。 |
| 電子情報開示ケースが削除されました |
CaseRemoved |
Remove-ComplianceCase |
電子情報開示ケースが削除されました。 ケースを削除する前に、ケースに関連付けられた保留をすべて削除する必要があります。 |
| 検索のアクセス許可フィルターが削除されました |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
検索のアクセス許可フィルターが削除されました。 |
| 電子情報開示ケースの保留に対する検索クエリが削除されました |
HoldRemoved |
Remove-CaseHoldRule |
電子情報開示ケースに関連付けられたクエリベースの保留が削除されました。 多くの場合、保留リストからのクエリの削除は、保留を削除した結果として発生します。 保留または保留クエリを削除する場合、保留中だったコンテンツの場所は解放されます。 |
| コンテンツ検索のエクスポートがダウンロードされました |
SearchExportDownloaded |
該当なし |
ユーザーがコンテンツ検索の結果をローカル コンピューターにダウンロードしました。 検索結果をダウンロードするには、コンテンツ検索のエクスポートが開始されましたのアクティビティを開始している必要があります。 |
| コンテンツ検索の結果がプレビューされました |
SearchPreviewed |
該当なし |
ユーザーがコンテンツ検索の結果をプレビューしました。 |
| コンテンツ検索の結果が消去されました |
SearchResultsPurged |
New-ComplianceSearchAction |
ユーザーは 、New-ComplianceSearchAction -Purge コマンドを実行して、コンテンツ検索の結果を消去しました。 |
| コンテンツ検索の分析が削除されました |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
コンテンツ検索準備アクション (電子情報開示 (Premium) の検索結果を準備する) が削除されました。 準備アクションが 2 週間未満の場合は、電子情報開示 (Premium) 用に準備された検索結果が Microsoft Azure ストレージ領域から削除されました。 準備アクションが 2 週間以上経過している場合は、このイベントは、対応する準備アクションのみが削除されたことを示しています。 |
| コンテンツ結果のエクスポートが削除されました |
RemovedSearchExported |
Remove-ComplianceSearchAction |
コンテンツ検索のエクスポート アクションは削除されました。 エクスポート アクションから 2 週間経っていない場合は、Microsoft Azure 記憶域にアップロードされた検索結果は削除されています。 エクスポート アクションが 2 週間以上経過している場合は、このイベントは、対応するエクスポート アクションのみが削除されたことを示しています。 |
| 電子情報開示ケースからメンバーが削除されました |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
ユーザーが、電子情報開示ケースのメンバーから削除されました。 |
| コンテンツ検索の結果のプレビューが削除されました |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
コンテンツ検索のプレビュー アクションが削除されました。 |
| コンテンツ検索で実行された消去アクションが削除されました |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
コンテンツ検索の消去アクションが削除されました。 |
| 検索レポートが削除されました |
SearchReportRemoved |
Remove-ComplianceSearchAction |
コンテンツ検索のエクスポート レポート アクションが削除されました。 |
| コンテンツ検索の分析が開始されました |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
コンテンツ検索の結果は、電子情報開示 (Premium) で分析するために準備されました。 |
| コンテンツ検索が開始されました |
SearchStarted |
Start-ComplianceSearch |
コンテンツ検索が開始されました。 コンプライアンス ポータルを使用してコンテンツ検索を作成または変更すると、検索が自動的に開始されます。 |
| コンテンツ検索のエクスポートが開始されました |
SearchExported |
New-ComplianceSearchAction |
ユーザーがコンテンツ検索の結果をエクスポートしました。 |
| レポートのエクスポートが開始されました |
SearchReport |
New-ComplianceSearchAction |
ユーザーがコンテンツ検索レポートをエクスポートしました。 |
| コンテンツ検索が停止されました |
SearchStopped |
Stop-ComplianceSearch |
ユーザーがコンテンツ検索を停止しました。 |
| (なし) | CaseViewed | Get-ComplianceCase | ユーザーがコンプライアンス ポータルで電子情報開示 (Standard) ケースを表示しました。 このイベントの監査レコードには、表示されたケースの名前が含まれます。 |
| (なし) | SearchViewed | Get-ComplianceSearch | ユーザーがコンプライアンス ポータルでコンテンツ検索を表示した場合は、電子情報開示 (標準) ケースの [ 検索 ] タブで検索にアクセスするか 、コンテンツ検索 ページでアクセスします。 このイベントの監査レコードには、表示された検索の ID が含まれます。 |
| (なし) | ViewedSearchExported | Get-ComplianceSearchAction -Export | ユーザーがコンプライアンス ポータルでコンテンツ検索エクスポートを表示した場合は、[コンテンツ検索] ページの [エクスポート] タブでエクスポートにアクセスします。 このアクティビティは、ユーザーが電子情報開示 (Standard) ケースに関連付けられたエクスポートを表示したときにもログに記録されます。 |
| (なし) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Preview | ユーザーがコンプライアンス ポータルでコンテンツ検索の結果をプレビューしました。 このアクティビティは、電子情報開示 (Standard) ケースに関連付けられた検索の結果をユーザーがプレビューしたときにもログに記録されます。 |
電子情報開示 (プレミアム) のアクティビティ
次の表では、監査ログに記録される電子情報開示 (Premium) アクティビティについて説明します。 これらのアクティビティを使用すると、電子情報開示 (Premium) ケースでのアクティビティの進行状況を追跡するのに役立ちます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 別のレビュー セットへのデータの追加 | AddWorkingSetQueryToWorkingSet | ユーザーが、1つのレビュー セットから別のレビュー セットにドキュメントを追加しました。 |
| レビュー セットへのデータの追加 | AddQueryToWorkingSet | ユーザーは、電子情報開示 (Premium) ケースに関連付けられているコンテンツ検索の検索結果をレビュー セットに追加しました。 |
| Microsoft 365 以外のデータのレビュー セットへの追加 | AddNonOffice365DataToWorkingSet | ユーザーが、Microsoft 365 以外のデータをレビュー セットに追加しました。 |
| レビュー セットへの修復済みドキュメントの追加 | AddRemediatedData | ユーザーが、インデックス作成エラーがあったドキュメントを修復したものをレビュー セットにアップロードしました。 |
| レビュー セット内のデータの分析 | RunAlgo | ユーザーは、レビュー セット内のドキュメントに対して分析を実行しました。 |
| レビュー セット内ドキュメントへの注釈付け | AnnotateDocument | ユーザーが、レビュー セット内のドキュメントに注釈を付けました。 注釈付けには、ドキュメントのコンテンツの編集が含まれます。 |
| 読み込みセットの比較 | LoadComparisonJob | ユーザーが、レビュー セット内の 2 つの異なる読み込みセットを比較しました。 読み込みセットは、ケースに関連付けられているコンテンツ検索からのデータがレビュー セットに追加されたときに比較されます。 |
| 編集されたドキュメントの PDF への変換 | BurnJob | ユーザーが、レビュー セット内のすべての編集されたドキュメントを PDF ファイルに変換しました。 |
| レビュー セットの作成 | CreateWorkingSet | ユーザーがレビュー セットを作成しました。 |
| レビュー セット検索の作成 | CreateWorkingSetSearch | ユーザーが、レビュー セット内のドキュメントを検索する検索クエリを作成しました。 |
| タグの作成 | CreateTag | ユーザーが、レビュー セット内でタグ グループを作成しました。 タグ グループには、1つまたは複数の子タグを含めることができます。 これらのタグは、レビュー セット内のドキュメントへのタグ付けに使用されます。 |
| レビュー セット検索の削除 | DeleteWorkingSetSearch | ユーザーが、レビュー セット内の検索クエリを削除しました。 |
| タグの削除 | DeleteTag | ユーザーが、レビュー セット内のタグまたはタグ グループを削除しました。 |
| ダウンロードしたドキュメント | DownloadDocument | ユーザーが、レビュー セットからドキュメントをダウンロードしました。 |
| タグの編集 | UpdateTag | ユーザーが、レビュー セット内のタグを変更しました。 |
| レビュー セットからのドキュメントのエクスポート | ExportJob | ユーザーが、レビュー セットからドキュメントをエクスポートしました。 |
| ケースの設定の変更 | UpdateCaseSettings | ユーザーがケースの設定を変更しました。 ケースの設定には、ケース情報、アクセス許可、検索と分析の動作を制御する設定などがあります。 |
| レビュー セット検索の変更 | UpdateWorkingSetSearch | ユーザーが、レビュー セット内の検索クエリを編集しました。 |
| レビュー セット検索のプレビュー | PreviewWorkingSetSearch | ユーザーが、レビュー セット内で検索クエリの結果をプレビューしました。 |
| エラー ドキュメントの修復 | ErrorRemediationJob | ユーザーが、インデックス作成エラーを含むファイルを修正しました。 |
| ドキュメントのタグ付け | TagFiles | ユーザーが、レビュー セット内のドキュメントにタグを付けました。 |
| クエリ結果のタグ付け | TagJob | ユーザーが、レビュー セット内の、検索クエリの条件に一致するすべてのドキュメントにタグを付けました。 |
| レビュー セット内ドキュメントの表示 | ViewDocument | ユーザーが、レビュー セット内のドキュメントを表示しました。 |
電子情報開示コマンドレットのアクティビティ
次の表に、管理者またはユーザーがコンプライアンス ポータルを使用するか、Security & Compliance PowerShell で対応するコマンドレットを実行して電子情報開示関連のアクティビティを実行したときに記録されるコマンドレット監査ログ レコードの一覧を示します。 監査ログ レコードの詳細情報は、この表に一覧されているコマンドレットのアクティビティとは異なります。電子情報開示アクティビティは、前述のセクションに示されています。
前述のように、電子情報開示コマンドレットのアクティビティが監査ログの検索結果に表示されるまでに最大 24 時間かかることがあります。
ヒント
次の表の「操作」列のコマンドレットは、TechNet の対応するコマンドレットのヘルプ トピックにリンクされています。 各コマンドレットに使用可能なパラメーターの説明については、コマンドレットのヘルプ トピックを参照してください。 コマンドレットで使用されたパラメーターとパラメーター値は、ログに記録された、各電子情報開示コマンドレッド アクティビティの監査ログ エントリに含まれています。
| フレンドリ名 | 操作 (コマンドレット) | 説明 |
|---|---|---|
| 電子情報開示ケースで保留が作成されました |
New-CaseHoldPolicy |
電子情報開示ケースの保留が作成されました。 保留は、コンテンツ ソースを指定してもしなくても作成できます。 コンテンツ ソースが指定されている場合は、監査ログ エントリで識別されます。 |
| 電子情報開示ケースから保留が削除されました |
Remove-CaseHoldPolicy |
電子情報開示ケースに関連付けられた保留が削除されました。 保留を削除すると、コンテンツのすべての場所が保留から解放されます。 保留を削除すると、保留に関連付けられているケース ホールド ルールも削除されます ( 「Remove-CaseHoldRule」を参照)。 |
| 電子情報開示ケースで保留が変更されました |
Set-CaseHoldPolicy |
電子情報開示ケースに関連付けられた保留が変更されました。 発生する可能性のある変更としては、コンテンツの場所の追加または削除、保留のオフ (無効化) があります。 |
| 電子情報開示ケースの保留に対する検索クエリが作成されました |
New-CaseHoldRule |
電子情報開示ケースに関連付けられたクエリベースの保留が作成されました。 |
| 電子情報開示ケースの保留に対する検索クエリが削除されました |
Remove-CaseHoldRule |
電子情報開示ケースに関連付けられたクエリベースの保留が削除されました。 多くの場合、保留リストからのクエリの削除は、保留を削除した結果として発生します。 保留または保留クエリを削除する場合、保留中だったコンテンツの場所は解放されます。 |
| 電子情報開示ケースの保留に対する検索クエリが変更されました |
Set-CaseHoldRule |
電子情報開示ケースに関連付けられたクエリベースの保留が変更されました。 発生する可能性のある変更としては、クエリの編集、クエリベースの保留の日付範囲の編集があります。 |
| 電子情報開示ケースが作成されました |
New-ComplianceCase |
電子情報開示ケースが作成されました。 ケースを作成する際に必要な操作は、名前を付けることだけです。 メンバーの追加、保留の作成、ケースに関連付けられたコンテンツ検索の作成などの他のケース関連のタスクにより、追加のイベントがログに記録されます。 |
| 電子情報開示ケースが削除されました |
Remove-ComplianceCase |
電子情報開示ケースが削除されました。 ケースを削除する前に、ケースに関連付けられた保留をすべて削除する必要があります。 |
| 電子情報開示ケースが変更されました |
Set-ComplianceCase |
電子情報開示ケースが変更されました。 変更としては、開いているケースを閉じる、閉じたケースを再度開くなどがあります。 |
| 電子情報開示ケースにメンバーが追加されました |
Add-ComplianceCaseMember |
ユーザーが電子情報開示ケースのメンバーとして追加されました。 ユーザーはケースのメンバーとして、必要なアクセス許可が割り当てられているかどうかに応じて、ケースに関連するさまざまなタスクを実行できます。 |
| 電子情報開示ケースからメンバーが削除されました |
Remove-ComplianceCaseMember |
ユーザーが、電子情報開示ケースのメンバーから削除されました。 |
| 電子情報開示ケースのメンバーシップが変更されました |
Update-ComplianceCaseMember |
電子情報開示ケースのメンバーシップ リストが変更されました。 このアクティビティは、すべてのメンバーが新しいユーザーのグループに置き換えられたときにログに記録されます。 1 人のメンバーが追加または削除されると、Add-ComplianceCaseMember または Remove-ComplianceCaseMember 操作がログに記録されます。 |
| コンテンツ検索が作成されました |
New-ComplianceSearch |
新しいコンテンツ検索が作成されました。 |
| コンテンツ検索が削除されました |
Remove-ComplianceSearch |
既存のコンテンツ検索が削除されました。 |
| コンテンツ検索が変更されました |
Set-ComplianceSearch |
既存のコンテンツの検索が変更されました。 変更としては、検索されるコンテンツの場所の追加または削除、検索クエリの編集などがあります。 |
| コンテンツ検索が開始されました |
Start-ComplianceSearch |
コンテンツ検索が開始されました。 コンプライアンス ポータル GUI を使用してコンテンツ検索を作成または変更すると、検索が自動的に開始されます。
New-ComplianceSearch または Set-ComplianceSearch コマンドレットを使用して検索を作成または変更する場合、Start-ComplianceSearch コマンドレットを実行して検索を開始する必要があります。 |
| コンテンツ検索が停止されました |
Stop-ComplianceSearch |
実行中だったコンテンツ検索が停止されました。 |
| コンテンツ検索アクションが作成されました |
New-ComplianceSearchAction |
コンテンツ検索アクションが作成されました。 コンテンツ検索アクションには、検索結果のプレビュー、検索結果のエクスポート、電子情報開示 (Premium) での分析のための検索結果の準備、コンテンツ検索の検索条件に一致するアイテムの完全な削除が含まれます。 |
| コンテンツ検索アクションが削除されました |
Remove-ComplianceSearchAction |
コンテンツ検索アクションが削除されました。 |
| 検索のアクセス許可フィルターが作成されました |
New-ComplianceSecurityFilter |
検索のアクセス許可フィルターが作成されました。 |
| 検索のアクセス許可フィルターが削除されました |
Remove-ComplianceSecurityFilter |
検索のアクセス許可フィルターが削除されました。 |
| 検索のアクセス許可フィルターが変更されました |
Set-ComplianceSecurityFilter |
検索のアクセス許可フィルターが変更されました。 |
| 電子情報開示管理者が作成されました |
Add-eDiscoveryCaseAdmin |
ユーザーが、組織の電子情報開示管理者として追加されました。 |
| 電子情報開示管理者が削除されました |
Remove-eDiscoveryCaseAdmin |
電子情報開示管理者が組織から削除されました。 |
| 電子情報開示管理者のメンバーシップが変更されました |
Update-eDiscoveryCaseAdmin |
組織の電子情報開示管理者のリストが変更されました。 このアクティビティは、電子情報開示管理者が新しいユーザーのグループに置き換えられた場合にログに記録されます。 1 人のユーザーが追加または削除された場合、Add-eDiscoveryCaseAdmin または Remove-eDiscoveryCaseAdmin 操作がログに記録されます。 |
| (なし) |
Get-ComplianceCase |
このアクティビティは、ユーザーが電子情報開示 (Standard) または電子情報開示 (Premium) ケースの一覧を表示したときに記録されます。 このアクティビティは、ユーザーが電子情報開示 (Standard) で特定のケースを表示したときにもログに記録されます。 ユーザーが特定のケースを表示すると、監査レコードには、表示されたケースの ID が含まれます。 ユーザーがケースの一覧のみを表示した場合、監査レコードにはケース ID は含まれません。 |
| (なし) | Get-ComplianceSearch | このアクティビティは、ユーザーが電子情報開示 (Standard) ケースに関連付けられているコンテンツ検索または検索の一覧を表示したときに記録されます。 このアクティビティは、ユーザーが特定のコンテンツ検索を表示したり、電子情報開示 (標準) ケースに関連付けられた特定の検索を表示したりしたときにも記録されます。 ユーザーが特定の検索を表示すると、監査レコードには、表示された検索の ID が含まれます。 ユーザーが検索の一覧のみを表示した場合、監査レコードには検索 ID は含まれません。 |
| (なし) | Get-ComplianceSearchAction | このアクティビティは、ユーザーがコンプライアンス検索アクション (エクスポート、プレビュー、消去など) または電子情報開示 (Standard) ケースに関連付けられているアクションの一覧を表示したときに記録されます。 このアクティビティは、ユーザーが特定のコンプライアンス検索アクション (エクスポートなど) を表示したり、電子情報開示 (Standard) ケースに関連付けられた特定のアクションを表示したりしたときにもログに記録されます。 ユーザーが検索アクションを表示すると、監査レコードには、表示された検索アクションの ID が含まれます。 ユーザーがアクションの一覧のみを表示した場合、監査レコードにはアクション ID は含まれません。 |
電子情報開示アクティビティの詳細なプロパティ
次の表では、検索結果に表示される電子情報開示アクティビティのポップアップ ページに含まれるプロパティについて説明します。 これらのプロパティは、監査ログの検索結果をエクスポートしたときに、CSV ファイルにも含まれます。 電子情報開示アクティビティの監査ログ レコードには、次の表に示すすべての詳細プロパティは含まれません。
ヒント
検索結果をエクスポートすると、CSV ファイルには AudtiData という名前の列が含まれます。この列には、複数値プロパティの次の表で説明されている詳細なプロパティが含まれています。 Excel のPower Query機能を使用して、この列を複数の列に分割して、各プロパティに独自の列を含めることができます。 このようにすると、これらの 1 つ以上のプロパティで並べ替えやフィルター処理を行うことができます。 詳細については、「監査ログの検索」を参照してください。
| プロパティ | 説明 |
|---|---|
| ケース |
作成、変更、または削除された電子情報開示ケースの ID (GUID)。 |
| ClientApplication |
電子情報開示アクティビティ コマンドレッドは、このプロパティの値が EMC です。 これは、コンプライアンス ポータル GUI を使用するか、PowerShell でコマンドレットを実行してアクティビティが実行されたことを示します。 |
| ClientIP |
アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 |
| ClientRequestId |
電子情報開示アクティビティの場合、このプロパティは通常空白です。 |
| CmdletVersion |
organizationで実行されているコンプライアンス ポータルのバージョンのビルド番号。 |
| CreationTime |
電子情報開示アクティビティが実行されたときの協定世界時 (UTC) の日付と時刻。 |
| EffectiveOrganization |
Microsoft 365 organizationの名前。 |
| ExchangeLocations |
コンテンツ検索に含まれるか、電子情報開示ケースで保留にされている Exchange Online のメールボックス。 |
| Exclusions |
コンテンツ検索または電子情報開示ケースの保留から除外されているメールボックスまたはサイトの場所。 |
| ExtendedProperties |
アクティビティが実行されたときに使用されたオブジェクト GUID、対応するコマンドレット、コマンドレット パラメーターなど、コンテンツ検索、コンテンツ検索アクション、または電子情報開示ケースの保留の追加プロパティ。 |
| ID |
レポート エントリの ID。 ID は、監査ログ エントリを一意に識別します。 |
| NonPIIParameters |
Operation プロパティで識別されるコマンドレットで使用されたパラメーターの一覧 (値はリストされません)。 このプロパティにリストされるパラメーターは、Parameters プロパティでリストされるパラメーターと同じです。 |
| ObjectId |
Operation プロパティに一覧表示されているアクティビティによって作成、アクセス、変更、または削除されたオブジェクトの GUID または名前 (コンテンツ検索や電子情報開示 (Standard) ケースなど)。 また、このオブジェクトは、監査ログの検索結果のアイテム列でも識別されます。 |
| ObjectType |
ユーザーが作成、削除、変更した電子情報開示オブジェクトの種類。たとえば、コンテンツ検索アクション (プレビュー、エクスポート、または消去)、電子情報開示ケース、またはコンテンツ検索。 |
| Operation |
実行された電子情報開示アクティビティに対応する操作の名前。 |
| OrganizationId |
Microsoft 365 組織の GUID。 |
| パラメーター |
対応するコマンドレットで使用されたパラメーターの名前と値。 |
| PublicFolderLocations |
コンテンツ検索に含まれるか、電子情報開示ケースで保留にされている Exchange Online のパブリック フォルダーの場所。 |
| Query |
コンテンツ検索やクエリ ベース保留など、アクティビティに関連付けられた検索クエリ。 |
| RecordType |
レコードによって示される操作の種類。 値 18 は、「電子情報開示コマンドレットのアクティビティ」セクションに一覧されているアクティビティに関連するイベントを示しています。
値 24 は、[電子情報開示アクティビティ] セクションに一覧表示されているアクティビティに関連するイベントを示します。 |
| ResultStatus |
(Operation プロパティで指定された) アクションが正常に終了したかどうかどうかを示します。 |
| SecurityComplianceCenterEventType |
アクティビティがコンプライアンス ポータル イベントであることを示します。 電子情報開示アクティビティはすべて、このプロパティの値が 0 です。 |
| SharepointLocations |
コンテンツ検索に含まれるか、電子情報開示ケースで保留にされている SharePoint Online サイト。 |
| StartTime |
電子情報開示アクティビティが開始されたときの協定世界時 (UTC) の日付と時刻。 |
| UserId |
結果としてログ記録されているレコードが生成されたアクティビティ (Operation プロパティで指定された) を実行したユーザー。 システム アカウント (NT AUTHORITY\SYSTEM など) によって実行された電子情報開示アクティビティのレコードも監査ログに含まれます。 |
| UserKey |
UserId プロパティで識別されるユーザーの別の ID。 電子情報開示アクティビティの場合、このプロパティの値は通常、UserId プロパティと同じです。 |
| UserServicePlan |
organizationによって使用されるサブスクリプション。 電子情報開示アクティビティの場合、このプロパティは通常空白です。 |
| UserType |
操作を実行したユーザーの種類。 次の値は、ユーザーの種類を示しています。 0 通常のユーザー。 2 organizationの管理者。 3 Microsoft データセンター管理者またはデータセンター システム アカウント。 4 システム アカウント。 5 アプリケーション。 6 サービス プリンシパル。 |
| バージョン |
ログに記録されるアクティビティ (Operation プロパティで識別) のバージョン番号を示します。 |
| Workload |
アクティビティが発生したサービス。 電子情報開示アクティビティの場合、この値は、SecurityComplianceCenter です。 |
暗号化されたメッセージ ポータル アクティビティ
アクセス ログは、暗号化されたメッセージ ポータルを介して暗号化されたメッセージに対して使用できます。これにより、組織は、メッセージがいつ読み取られ、外部の受信者によって転送されたかを判断できます。 暗号化されたメッセージ ポータルアクティビティ ログの有効化と使用の詳細については、「暗号化されたメッセージ ポータル アクティビティ ログ」を参照してください。
追跡対象メッセージの各監査エントリには、次のフィールドが含まれています。
- MessageID: 追跡対象のメッセージの ID が含まれます。 システムを介してメッセージに従うために使用されるキー識別子。
- 受信者: すべての受信者のメール アドレスの一覧。
- 送信者: 送信元の電子メール アドレス。
- AuthenticationMethod: メッセージにアクセスするための認証方法 (OTP、Yahoo、Gmail、Microsoft など) について説明します。
- AuthenticationStatus: 認証が成功または失敗したことを示す値が含まれます。
- OperationStatus: 指定された操作が成功したか失敗したかを示します。
- AttachmentName: 添付ファイルの名前。
- OperationProperties: 省略可能なプロパティの一覧。 たとえば、送信された OTP パスコードの数やメールの件名などです。
Exchange 管理アクティビティ
(Microsoft 365 において既定で有効になっている) Exchange 管理者監査ログは、管理者 (または管理者権限が割り当てられているユーザー) が Exchange Online の組織で変更を行ったときに、監査ログにイベントを記録します。 Exchange 管理センターを使用するか、Exchange Online PowerShell でコマンドレットを実行して加えられた変更は、Exchange 管理者監査ログに記録されます。 動詞 Get、Search-、または Test で始まるコマンドレットは、監査ログに記録されません。 Exchange の管理者監査ログの詳細については、「管理者監査ログ」を参照してください。
重要
Exchange 管理者監査ログ (または監査ログ) に記録されない一部の Exchange Online コマンドレット。 これらのコマンドレットの多くは、Exchange Online サービスの保守に関連しており、Microsoft データセンサーの担当者またはサービス アカウントによって実行されます。 "雑音の多い" 監査イベントが多数発生するため、これらのコマンドレットはログに記録されません。 監査されていない Exchange Online コマンドレットがある場合は、Microsoft サポートに設計変更要求 (DCR) を送信してください。
監査ログを検索するときに Exchange 管理者のアクティビティを検索するためのヒントをいくつか紹介します。
日付範囲ボックスと [ユーザー ] リストを使用して、特定の Exchange 管理者が実行するコマンドレットの検索結果を特定の日付範囲内に絞り込みます。
Exchange 管理者監査ログのイベントを表示するには、[ アクティビティ ] 列を選択して、コマンドレット名をアルファベット順に並べ替えます。
実行されたコマンドレット、使用されたパラメーターおよびパラメーター値、影響を受けたオブジェクトに関する情報を取得するには、[すべての結果をダウンロードする] オプションを選択することで検索結果をエクスポートできます。 詳細については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。
Exchange Online PowerShell の
Search-UnifiedAuditLog -RecordType ExchangeAdminコマンドを使用して、Exchange 管理者監査ログの監査レコードのみを返すこともできます。 Exchange コマンドレットの実行後、対応する監査ログ エントリが検索結果に返されるまで、最大で 30 分かかる場合があります。 詳細については、「Search-UnifiedAuditLog」を参照してください。 Search-UnifiedAuditLog コマンドレットによって返された検索結果を CSV ファイルにエクスポートする方法の詳細については、「監査ログ レコードをエクスポート、構成、表示する」の「監査ログをエクスポート、表示するためのヒント」のセクションを参照してください。Exchange 管理センターを使用して、または Exchange Online PowerShell で Search-AdminAuditLog を実行して、Exchange 管理者監査ログのイベントを表示することもできます。 監査ログは、Exchange Online管理者によって実行されたアクティビティを具体的に検索する良い方法です。 手順については、以下を参照してください。
Exchange 管理者監査ログと監査ログの両方に同じ Exchange 管理者アクティビティが記録される点に注意してください。
Exchange メールボックス アクティビティ
次の表に、メールボックス監査ログに記録される可能性があるアクティビティを示します。 メールボックスの所有者、委任されたユーザー、または管理者によって実行されたメールボックス アクティビティは、監査ログに最大 180 日間自動的に記録されます。 管理者は、組織のすべてのユーザーについて、メールボックス監査ログをオフにできます。 この場合、いずれのユーザーのメールボックス操作もログに記録されません。 詳細については、「メールボックスの監査を管理する」を参照してください。
重要
監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、新しい既定の保持期間の 180 日に従います。
メールボックス操作の検索は、Exchange Online PowerShell で Search-MailboxAuditLog コマンドレットを使用しても行えます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| メールボックス アイテムへのアクセス | MailItemsAccessed | メールボックスでメッセージが読み取りまたはアクセスされました。 このアクティビティの監査レコードは、次の 2 つのうちいずれかの方法でトリガーされます。メール クライアント (Outlook など) でメッセージに対するバインド操作が実行されたとき、またはメール プロトコル (Exchange ActiveSync や IMAP など) によりメール フォルダーのアイテムが同期されたとき。 このアクティビティの監査レコードの分析は、攻撃されたメール アカウントを調査するときに便利です。 |
| 代理メールボックス アクセス許可の追加 | Add-MailboxPermission | 管理者は、FullAccess メール ボックス権限をユーザー (代理人と呼ばれる) に別の人のメール ボックスに割り当てました。 FullAccess アクセス許可では、代理人は、他のユーザーのメールボックスを開き、メールボックスの内容の閲覧および管理を行うことができます。 このアクティビティの監査レコードは、Microsoft 365 サービスのシステム アカウントが組織に代わって定期的にメンテナンス タスクを実行するときにも生成されます。 システム アカウントによって実行される一般的なタスクは、システム メールボックスのアクセス許可を更新することです。 詳細については、「Exchange メール ボックス監査レコードのシステム アカウント」を参照してください。 |
| 代理人アクセス許可を持つユーザーが予定表フォルダーに追加または削除されました | UpdateCalendarDelegation | ユーザーが、別のユーザーのメールボックスの予定表に代理人として追加または削除されました。 予定表の委任により、同じ組織の他のユーザーに、メールボックス所有者の予定表を管理する権限が付与されます。 |
| フォルダーへのアクセス許可が追加されました | AddFolderPermissions | フォルダーのアクセス許可が追加されました。 フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。 |
| 別のフォルダーへのメッセージのコピー | Copy | メッセージが別のフォルダーにコピーされました。 |
| メールボックス アイテムの作成 | Create | アイテムが、メールボックスの予定表、連絡先、メモ、またはタスク フォルダーに作成されます。 たとえば、新しい会議出席依頼が作成されます。 メッセージの作成、送信、または受信は監査されません。 また、メールボックス フォルダーの作成は監査されません。 |
| Outlook Web App の新しい受信トレイ ルールの作成 | New-InboxRule | メールボックスの所有者またはメールボックスにアクセスできる別のユーザーが、Outlook Web App で受信トレイ ルールを作成しました。 |
| 削除済みアイテム フォルダーからのメッセージの削除 | SoftDelete | メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。 これらの項目は、[回復可能なアイテム] フォルダーに移動されます。 メッセージは、ユーザーが選択して Shift キーを押しながら削除キーを押すと、回復可能なアイテム フォルダーにも移動されます。 |
| メッセージをレコードとして分類しました | ApplyRecordLabel | メッセージがレコードとして分類されました。 レコードとしてコンテンツを分類する保持ラベルが、メッセージに手動または自動的に適用されるときに発生します。 |
| 別のフォルダーへのメッセージの移動 | Move | メッセージが別のフォルダーに移動されました。 |
| 削除済みアイテム フォルダーへのメッセージの移動 | MoveToDeletedItems | メッセージが削除され、削除済みアイテム フォルダーに移動されました。 |
| フォルダーのアクセス許可の変更 | UpdateFolderPermissions | フォルダーのアクセス許可が変更されました。 フォルダーのアクセス許可は、メールボックス フォルダーとフォルダー内のメッセージにアクセスできるorganization内のユーザーを制御します。 |
| Outlook Web App の受信トレイ ルールが変更されました | Set-InboxRule | メールボックスの所有者またはメールボックスにアクセスできる別のユーザーが、Outlook Web App を使用して受信トレイ ルールを変更しました。 |
| メールボックスからのメッセージの消去 | HardDelete | メッセージが回復可能なアイテム フォルダーから削除されました (メールボックスから完全に削除されました)。 |
| 代理メールボックス アクセス許可の削除 | Remove-MailboxPermission | 管理者は、ユーザーのメールボックスから FullAccess アクセス許可 (代理人に割り当てられた) を削除しました。 FullAccess アクセス許可が削除された後、代理人は他のユーザーのメールボックスを開いたり、その中のコンテンツにアクセスしたりすることはできません。 |
| フォルダーからアクセス許可が削除されました | RemoveFolderPermissions | フォルダーのアクセス許可が削除されました。 フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。 |
| 送信済メッセージ | Send | メッセージが送信、返信、または転送されました。 |
| 送信者権限を使ったメッセージの送信 | SendAs | SendAs アクセス許可を使用してメッセージが送信されました。 つまり、別のユーザーがこのメールボックスの所有者を装ってメッセージを送信したということです。 |
| 代理送信権限を使ったメッセージの送信 | SendOnBehalf | SendOnBehalf アクセス許可を使用してメッセージが送信されました。 つまり、別のユーザーがこのメールボックスの所有者の代理人としてメッセージを送信したということです。 このメッセージは、代わりにメッセージが送信されたユーザーと実際にメッセージを送信したユーザーを受信者に示します。 |
| Outlook クライアントの受信トレイ ルールの更新 | UpdateInboxRules | メールボックスの所有者またはメールボックスにアクセスできる他のユーザーが、Outlook クライアントを使用して受信トレイ ルールを作成、変更、または削除しました。 |
| メッセージの更新 | Update | メッセージまたはそのプロパティが変更されました。 |
| メールボックスへのユーザーのサインイン | MailboxLogin | ユーザーが自分のメールボックスにサインインしました。 |
| メッセージをレコードとしてラベル付けする | ユーザーがメール メッセージに保持ラベルを適用しました。このラベルは、アイテムをレコードとしてマークするように構成されています。 |
Exchange メール ボックス監査レコードのシステム アカウント
一部のメール ボックス アクティビティ (特に Add-MailboxPermissions) の監査レコードでは、アクティビティを実行した (そして、User フィールドと UserId フィールドで識別された) ユーザーが NT AUTHORITY\SYSTEM または NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost)であることに気付く場合があります。 これは、アクティビティを実行した "ユーザー" が Microsoft クラウドの Exchange サービスのシステム アカウントであったことを示しています。 このシステム アカウントは、多くの場合、組織に代わってスケジュールされたメンテナンス タスクを実行します。 たとえば、NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) アカウントによって実行される一般的な監査アクティビティは、システム メール ボックスである DiscoverySearchMailbox のアクセス許可を更新することです。 この更新プログラムの目的は、FullAccess 権限 (既定) がDiscoverySearchMailbox の DiscoveryManagement 役割グループに割り当てられていることを確認することです。 電子情報開示管理者が、organizationで必要なタスクを実行できることを確認します。
Add-MailboxPermission の監査レコードで識別できる別のシステム ユーザー アカウントがAdministrator@apcprd03.prod.outlook.com。 このサービスアカウントは、FullAccess アクセス許可の確認と更新に関連するメールボックス監査レコードにも含まれ、DiscoverySearchMailbox システム メールボックスの DiscoveryManagement 役割グループに割り当てられます。 具体的には、Administrator@apcprd03.prod.outlook.com アカウントを識別する監査レコードは、通常、Microsoft サポート担当者がorganizationの代わりにロールベースのアクセス制御診断ツールを実行するときにトリガーされます。
ファイル アクティビティとページ アクティビティ
次の表では、SharePoint Online および OneDrive for Business 内のファイル アクティビティとページ アクティビティについて説明します。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| ファイルがアクセスされました | FileAccessed | ユーザーまたはシステム アカウントがファイルにアクセスします。 ユーザーがファイルにアクセスすると、FileAccessed イベントは、次の 5 分間同じファイルに対して同じユーザーに対して再度ログに記録されません。 |
| (なし) | FileAccessedExtended | これは、"ファイルへのアクセス" (FileAccessed) アクティビティに関連します。 同じユーザーが長時間 (最大 3 時間) にわたって、ファイルに継続的にアクセスすると、FileAccessedExtended イベントがログに記録されます。 FileAccessedExtended イベントをログに記録する目的は、ファイルが継続的にアクセスされたときにログに記録される FileAccessed イベントの数を減らすことにあります。 これにより、本質的に同じユーザーのアクティビティであるファイル アクセスに対する無意味な複数の FileAccessed レコードが減り、初期の (より重要な) FileAccessed イベントに注目できます。 |
| ファイルの保持ラベルが変更されました | ComplianceSettingChanged | 保持ラベルがドキュメントに適用またはドキュメントから削除されました。 このイベントは、保持ラベルが手動または自動でメッセージに適用されたときにトリガーされます。 |
| レコードのステータスがロックに変更されました | LockRecord | ドキュメントをレコードとして分類する保持ラベルのレコード ステータスがロックされました。 これは、ドキュメントを変更したり削除したりできないことを意味します。 ドキュメントのレコード ステータスを変更できるのは、共同作成者以上のアクセス許可がサイトで割り当てられているユーザーだけです。 |
| レコード ステータスが、ロック解除に変更されました | UnlockRecord | ドキュメントをレコードとして分類する保持ラベルのレコード ステータスのロックが解除されました。 これは、ドキュメントを変更したり削除したりできることを意味します。 ドキュメントのレコード ステータスを変更できるのは、共同作成者以上のアクセス許可がサイトで割り当てられているユーザーだけです。 |
| ファイルのチェックイン | FileCheckedIn | ユーザーがドキュメント ライブラリからチェックアウトしたドキュメントをチェックインしました。 |
| ファイルのチェックアウト | FileCheckedOut | ユーザーは、ドキュメント ライブラリにあるドキュメントをチェックアウトします。 共有しているドキュメントは、複数のユーザーがチェックアウトし、変更を加えることができます。 |
| ファイルのコピー | FileCopied | ユーザーがサイトからドキュメントをコピーします。 コピーしたファイルは、サイトの別のフォルダーに保存できます。 |
| ファイルの削除 | FileDeleted | ユーザーがサイトからドキュメントを削除しました。 |
| ごみ箱からのファイルの削除 | FileDeletedFirstStageRecycleBin | ユーザーがサイトのごみ箱からファイルを削除しました。 |
| 第 2 段階のごみ箱からのファイルの削除 | FileDeletedSecondStageRecycleBin | ユーザーがサイトの第 2 段階のごみ箱からファイルを削除しました。 |
| レコードとしてマークされたファイルの削除 | RecordDelete | レコードとしてマークされたドキュメントまたはメールが削除されました。 アイテムがレコードとしてみなされるのは、アイテムをレコードとしてマークする保持ラベルがコンテンツに適用されている場合です。 |
| 検出されたドキュメントの秘密度の不一致 | DocumentSensitivityMismatchDetected | ユーザーが、機密ラベルで保護されているサイトにドキュメントをアップロードし、そのドキュメントの機密ラベルが、サイトに適用されている機密ラベルよりも優先度が高くなっています。 たとえば、「社外秘」というラベルの付いたドキュメントが、「一般」というラベルの付いたサイトにアップロードされている場合です。 ドキュメントの機密ラベルが、サイトに適用されている機密ラベルよりも優先度が低い場合、このイベントは発生しません。 たとえば、「一般」というラベルの付いたドキュメントが、「社外秘」というラベルの付いたサイトにアップロードされている場合です。 機密ラベルの優先度の詳細については、「ラベルの優先度 (順序の問題)」を参照してください。 |
| ファイルでのマルウェアの検出 | FileMalwareDetected | SharePoint ウイルス対策エンジンにより、ファイル内でマルウェアが検出されました。 |
| ファイル チェックアウトの破棄 | FileCheckOutDiscarded | ユーザーは、チェックアウトしたファイルを破棄 (または元に戻す) します。 これは、ファイルのチェック アウト時にファイルに対して加えた変更がすべて破棄され、ドキュメント ライブラリにあるドキュメントのバージョンには保存されないことを意味します。 |
| ファイルのダウンロード | FileDownloaded | ユーザーがサイトからドキュメントをダウンロードしました。 |
| ファイルの変更 | FileModified | ユーザーまたはシステム アカウントがサイトにあるドキュメントのコンテンツまたはプロパティを変更します。 同じユーザーが同じドキュメントのコンテンツまたはプロパティを変更すると、システムは別の FileModified イベントをログに記録するまで 5 分待機します。 |
| (なし) | FileModifiedExtended | これは、"ファイルの変更" (FileModified) アクティビティに関連しています。 同じユーザーが長時間 (最大 3 時間) にわたって、ファイルの変更を継続的に行うと、FileModifiedExtended イベントがログに記録されます。 FileModifiedExtended イベントをログに記録する目的は、ファイルの変更が継続的に行われたときにログに記録される FileModified イベントの数を減らすことにあります。 これにより、本質的に同じユーザーのアクティビティであるファイル変更に対する無意味な複数の FileModified レコードを減り、初期 (のより重要な) FileModified イベントに注目できます。 |
| ファイルの移動 | FileMoved | ユーザーがドキュメントをサイトの現在の場所から新しい場所に移動しました。 |
| (なし) | FilePreviewed | ユーザーが SharePoint または OneDrive for Business サイトにあるファイルをプレビューします。 通常、これらのイベントは、イメージ ギャラリーの表示などの 1 つのアクティビティに基づいて、大きいボリュームで発生します。 |
| 実行された検索クエリ | SearchQueryPerformed | ユーザーまたはシステム アカウントが SharePoint または OneDrive for Business で検索を実行します。 サービス アカウントが検索クエリを実行する一般的なシナリオとしては、サイトと OneDrive アカウントに電子情報開示の保留と保持ポリシーを適用する方法、サイト コンテンツに保持ラベルまたは秘密度ラベルを自動適用する方法などがあります。 |
| リサイクルされたファイル | FileRecycled | ユーザーはファイルを SharePoint のごみ箱に移動しました。 |
| リサイクルされたフォルダー | FolderRecycled | ユーザーはフォルダーを SharePoint のごみ箱に移動しました。 |
| リサイクルされたファイルのすべてのマイナー バージョン | FileVersionsAllMinorsRecycled | ユーザーは、ファイルのバージョン履歴からすべてのマイナー バージョンを削除します。 削除されたバージョンは、サイトのごみ箱に移動されます。 |
| ファイルのすべてのバージョンのリサイクル | FileVersionsAllRecycled | ユーザーは、ファイルのバージョン履歴からすべてのバージョンを削除します。 削除されたバージョンは、サイトのごみ箱に移動されます。 |
| ファイルのバージョンのリサイクル | FileVersionRecycled | ユーザーは、ファイルのバージョン履歴からバージョンを削除します。 削除されたバージョンは、サイトのごみ箱に移動されます。 |
| ファイルの名前変更 | FileRenamed | ユーザーがドキュメントの名前を変更しました。 |
| ファイルの復元 | FileRestored | ユーザーがサイトのごみ箱からドキュメントを復元しました。 |
| ファイルのアップロード | FileUploaded | ユーザーがサイトのフォルダーにドキュメントをアップロードしました。 |
| ページの表示 | PageViewed | ユーザーがサイトのページを表示しました。 ドキュメント ライブラリにあるファイルの Web ブラウザーを使用した表示は、これに含まれません。 ユーザーがページを表示すると、次の 5 分間、同じページの同じユーザーに対して PageViewed イベントが再度ログに記録されることはありません。 |
| (なし) | PageViewedExtended | これは、"ページの表示" (PageViewed) アクティビティに関連しています。 同じユーザーが長時間 (最大 3 時間) にわたって、継続的に Web ページを表示すると、PageViewedExtended イベントがログに記録されます。 PageViewedExtended イベントをログに記録する目的は、ページが継続的に表示されたときにログに記録される PageViewed イベントの数を減らすことにあります。 これにより、本質的に同じユーザーのアクティビティであるページ表示に対する無意味な複数の PageViewed レコードが減り、初期 (のより重要な) PageViewed イベントに注目できます。 |
| クライアントが表示をシグナル | ClientViewSignaled | ユーザーのクライアント (Web サイトやモバイル アプリなど) が、示されるページをユーザーが表示したことをシグナルしました。 多くの場合、ページでの PagePrefetched イベントに続いてこのアクティビティがログに記録されます。 注: ClientViewSignaled イベントはサーバーではなくクライアントによりシグナルされるため、イベントがサーバーによってログに記録されず、監査ログに表示されない場合があります。 また、監査レコードの情報の信頼性が低い可能性もあります。 ただし、ユーザーの ID はシグナルの作成に使用されたトークンによって検証されるため、対応する監査レコードに記載されているユーザーの ID は正確です。 システムは、同じユーザーのクライアントがページがユーザーによって再び表示されたことを通知するときに、同じイベントをログに記録するまで 5 分待機します。 |
| (なし) | PagePrefetched | 示されるページにユーザーがアクセスした際のパフォーマンスを上げるため、ユーザーのクライアント (Web サイトやモバイル アプリなど) がそのページを要求しました。 このイベントは、ページの内容がユーザーのクライアントに配信されたことを示すため、ログに記録されます。 このイベントは、ユーザーがページに移動したことをはっきりと示します。 (ユーザーの要求に従って) ページのコンテンツがクライアントによってレンダリングされると、ClientViewSignaled イベントが生成されます。 すべてのクライアントがプリフェッチの指定をサポートしているわけではないため、一部のプリフェッチ アクティビティが代わりに PageViewed イベントとしてログに記録される場合があります。 |
FileAccessed および FilePreviewed イベントに関するよくある質問
ユーザー以外のアクティビティによって、「OneDriveMpc-Transform_Thumbnail」などのユーザー エージェントを含む FilePreviewed 監査レコードがトリガーされる可能性はありますか?
ユーザー以外のアクションでこのようなイベントが生成されるシナリオは認識されていません。 ユーザー プロファイル カードを開くなどのユーザー アクション (Outlook on the web内のメッセージでユーザーの名前または電子メール アドレスを選択) すると、同様のイベントが生成されます。
OneDriveMpc-Transform_Thumbnail の呼び出しは、常にユーザーによって意図的にトリガーされていますか?
いいえ。 ただし、同様のイベントは、ブラウザープリフェッチの結果としてログに記録できます。
Microsoft が登録した IP アドレスからの FilePreviewed イベントが表示された場合、それはプレビューがユーザーのデバイスの画面に表示されたことを意味しますか?
いいえ。 イベントは、ブラウザープリフェッチの結果としてログに記録されている可能性があります。
ドキュメントをプレビューしているユーザーが FileAccessed イベントを生成するシナリオはありますか?
FilePreviewed イベントと FileAccessed イベントの両方が、ユーザーの呼び出しがファイルの読み取り (またはファイルのサムネイル レンダリングの読み取り) につながったことを示します。 これらのイベントはプレビューとアクセスの意図を一致させることを目的としていますが、イベントの区別はユーザーの意図を保証するものではありません。
監査レコードのapp@sharepointユーザー
一部のファイルアクティビティ (およびその他の SharePoint 関連のアクティビティ) の監査レコードでは、([ユーザー] および [UserId] フィールドで識別された) アクティビティを実行したユーザーが app@sharepoint であることがわかります。 これは、アクティビティを実行した「ユーザー」がアプリケーションだったことを示します。 この場合、アプリケーションには、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するためのアクセス許可が SharePoint に与えられています。 アプリケーションに対するアクセス許可を与えるこのプロセスは、SharePoint アプリ専用アクセスと呼ばれます。 これは、アクションを実行するために SharePoint に提示された認証が、ユーザーの代わりに、アプリケーションによって処理されたことを示します。 そのため、app@sharepoint ユーザーが特定の監査レコードで識別されます。 詳細については、「SharePoint アプリ専用のアクセスを許可する」を参照してください。
たとえば、多くの場合、app@sharepoint は、"Performed search query" および "Accessed file" のイベントのユーザーとして識別されます。 これは、組織で SharePoint アプリ専用アクセスを持つアプリケーションのみが検索クエリを実行し、アイテム保持ポリシーをサイトおよび OneDrive アカウントに適用するときにファイルにアクセスするためです。
ここでは、アクティビティを実行したユーザーとして監査レコード内で app@sharepoint が識別される可能性のある他のいくつかのシナリオを次に示します。
- Microsoft 365 グループ。 ユーザーまたは管理者が新しいグループを作成すると、サイト コレクションの作成、リストの更新、および SharePoint グループへのメンバーの追加のために監査レコードが生成されます。 これらのタスクは、グループを作成したユーザーの代わりにアプリケーションで実行されます。
- Microsoft Teams。 Microsoft 365 グループと同様に、サイト コレクションの作成、リストの更新、およびチームの作成時に SharePoint グループにメンバーを追加するための監査レコードが生成されます。
- コンプライアンス機能。 管理者がコンプライアンス機能 (アイテム保持ポリシー、電子情報開示保留、秘密度ラベルの自動適用など) を実装する場合。
これらのシナリオおよび他のシナリオでは、指定したユーザーとして app@sharepoint を使用した複数の監査レコードが、非常に短い時間枠内、多くの場合数秒以内に作成されています。 これは、ユーザーが開始した同じタスクによってトリガーされた可能性も示しています。 監査レコード内の ApplicationDisplayName および EventData フィールドを確認することにより、イベントをトリガーしたシナリオまたはアプリケーションを特定できる場合があります。
フォルダー アクティビティ
次の表では、SharePoint Online および OneDrive for Business 内のフォルダー アクティビティについて説明します。 前に説明したように、一部の SharePoint アクティビティの監査レコードは、ユーザーがアクションを開始したユーザーまたは管理者に代わってアクティビティを実行したapp@sharepointを示します。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| フォルダーがコピーされました | FolderCopied | ユーザーがフォルダーをサイトから SharePoint または OneDrive for Business の別の場所にコピーしました。 |
| フォルダーの作成 | FolderCreated | ユーザーがサイトにフォルダーを作成しました。 |
| フォルダーの削除 | FolderDeleted | ユーザーがサイトからフォルダーを削除しました。 |
| ごみ箱からのフォルダーの削除 | FolderDeletedFirstStageRecycleBin | ユーザーがサイトのごみ箱からフォルダーを削除しました。 |
| 第 2 段階のごみ箱からのフォルダーの削除 | FolderDeletedSecondStageRecycleBin | ユーザーがサイトの第 2 段階のごみ箱からフォルダーを削除しました。 |
| フォルダーの変更 | FolderModified | ユーザーがサイト上のフォルダーを変更します。 これには、タグやプロパティの変更など、フォルダー メタデータの変更が含まれます。 |
| フォルダーの移動 | FolderMoved | ユーザーがフォルダーをサイトの別の場所に移動しました。 |
| フォルダーの名前変更 | FolderRenamed | ユーザーがサイトのフォルダーの名前を変更しました。 |
| フォルダーの復元 | FolderRestored | ユーザーがサイトのごみ箱から削除されたフォルダーを復元しました。 |
情報バリア アクティビティ
Microsoft 365 監査ログに記録される情報バリアのアクティビティの一覧を次の表に記載します。 情報バリアの詳細については、「Microsoft 365 の情報の障壁について」を参照してください。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| テナントの AppBypassInformationBarrier 設定を変更しました | AppBypassInformationBarrier | SharePoint またはグローバル管理者が、SharePoint サイトのアプリ アクセスを変更しました。 |
| サイトへの情報バリア モードの適用 | SiteIBModeSet | SharePoint またはグローバル管理者がサイトにモードを適用しました。 |
| サイトに適用されたセグメント | SiteIBSegmentsSet | SharePoint、グローバル管理者、またはサイト所有者が、1 つ以上の情報バリア セグメントをサイトに追加しました。 |
| サイトの情報バリア モードを変更しました | SiteIBModeChanged | SharePoint またはグローバル管理者がサイトのモードを更新しました。 |
| サイトのセグメントを変更しました | SiteIBSegmentsChanged | SharePoint またはグローバル管理者が、サイトの 1 つ以上の情報バリア セグメントを変更しました。 |
| SharePoint と OneDrive の無効な情報バリア | SPOIBIsDisabled | SharePoint またはグローバル管理者が、organizationで SharePoint と OneDrive の情報バリアを無効にしました。 |
| SharePoint と OneDrive の有効な情報バリア | SPOIBIsEnabled | SharePoint またはグローバル管理者が、organizationで SharePoint と OneDrive の情報バリアを無効にしました。 |
| 完了した情報バリア分析情報レポート | InformationBarriersInsightsReportCompleted | システムは、情報バリア分析情報レポートの構築を完了します。 |
| クエリされた情報バリア分析情報レポート OneDrive セクション | InformationBarriersInsightsReportOneDriveSectionQueried | 管理者は、OneDrive アカウントの情報バリア分析情報レポートを照会します。 |
| スケジュールされた情報バリア分析情報レポート | InformationBarriersInsightsReportSchedule | 管理者は、情報バリア分析情報レポートをスケジュールします。 |
| クエリされた情報バリア分析情報レポート SharePoint セクション | InformationBarriersInsightsReportSharePointSectionQueried | 管理者は、Sharepoint サイトの情報バリア分析情報レポートを照会します。 |
| サイトからセグメントを削除しました | SiteIBSegmentsRemoved | SharePoint またはグローバル管理者が、サイトから 1 つ以上の情報バリア セグメントを削除しました。 |
一般的な設定アクティビティのMicrosoft Defender for Endpoint
次の表は、Microsoft 365 監査ログに記録される一般的な設定Microsoft Defender for Endpointアクティビティの一覧です。 Microsoft Defender for Endpoint設定の詳細については、「一般的な Defender for Endpoint 設定を構成する」を参照してください。
Microsoft Defender for Endpointアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| ダウンロードしたオフボード パッケージ | DownloadOffboardingPkg | Defender for Endpoint からデバイスを削除するために使用するパッケージをダウンロードしました。 |
| ダウンロードしたオンボード パッケージ | DownloadOnboardingPkg | デバイスを Defender for Endpoint にオンボードするために使用するパッケージをダウンロードしました。 |
| 変更されたデータ保持期間 | ChangeDataRetention | Defender for Endpoint のデータ保持設定を編集しました。 |
| 高度な機能を設定する | SetAdvancedFeatures | Defender for Endpoint の高度な機能が変更され、インシデント時により正確な制御が可能になりました。 一般公開されている高度な機能の設定のみが、Microsoft 365 監査ログに記録されます。 |
インジケーター設定アクティビティのMicrosoft Defender for Endpoint
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender for Endpointインジケーター設定のアクティビティを示します。 Microsoft Defender for Endpointインジケーターの詳細については、「インジケーターの管理」を参照してください。
Microsoft Defender for Endpointアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| インジケーターを追加しました | AddIndicator | 攻撃やイベントの追跡に使用できる新しい侵害のインジケーターを作成しました。 |
| 編集済みインジケーター | EditIndicator | 侵害のインジケーターを編集しました。 |
| 削除されたインジケーター | DeleteIndicator | 侵害のインジケーターを削除しました。 |
応答アクションアクティビティのMicrosoft Defender for Endpoint
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender for Endpoint応答アクション (ライブ応答など) のアクティビティを示します。 Microsoft Defender for Endpoint応答アクションの詳細については、「デバイスで応答アクションを実行する」を参照してください。
Microsoft Defender for Endpointアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 収集された調査パッケージ | CollectInvestigationPackage | 攻撃ツールと手法を理解するために使用されるデバイスに関する情報を収集しました。 |
| ウイルス対策スキャンを実行しました | RunAntiVirusScan | デバイスMicrosoft Defenderウイルス対策スキャンを実行しました。 |
| 制限付きアプリの実行 | RestrictAppExecution | 悪意のあるアプリの実行を防ぎます。 |
| アプリの制限を削除しました | RemoveAppRestrictions | アプリの実行を許可します。 |
| 分離デバイス | IsolateDevice | ネットワークからデバイスを分離し、攻撃の拡散を防ぎます。 |
| 分離から解放される | ReleaseFromIsolation | 分離されたデバイスをネットワークに追加しました。 |
| 停止したファイルと検疫されたファイル | StopAndQuarantineFile | 詳細な分析のために疑わしいファイルを検疫しました。 |
| ファイルのダウンロード | DownloadFile | 詳細な調査のために疑わしいファイルをダウンロードしました。 |
| オフボード デバイス | DeviceOffBoarding | Defender for Endpoint からデバイスを削除しました。 |
| ライブ応答 API の実行 | RunLiveResponseApi | API 呼び出しを介してライブ応答セッションを開き、リモート シェルをデバイスに開きます。 |
| 収集されたログ | LogsCollection | Defender for Endpoint に関するログ情報を収集しました。 |
| ライブ応答ファイルの取得リンクを実行しました | LiveResponseGetFile | ライブ応答セッションを開き、リモート シェルをデバイスに開きます。 |
| ライブ応答セッションの実行 | RunLiveResponseSession | ライブ応答セッションを実行し、リモート シェルをデバイスに開きます。 |
ロール設定アクティビティのMicrosoft Defender for Endpoint
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender for Endpointロール設定のアクティビティを示します。 Microsoft Defender for Endpointのロールの詳細については、「ロールベースのアクセス制御のロールを作成および管理する」を参照してください。
Microsoft Defender for Endpointアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| AddRole | ロールを追加しました | 新しいセキュリティ ロールとアクセス許可を追加しました。 |
| EditRole | 編集されたロール | 編集されたセキュリティ ロールとアクセス許可。 |
| DeleteRole | 削除されたロール | セキュリティ ロールとアクセス許可を削除しました。 |
エキスパート活動のMicrosoft Defender
次の表に、Microsoft 365 監査ログにログインMicrosoft Defenderエキスパートのアクティビティを示します。 Microsoft Defenderエキスパートの詳細については、「Microsoft Defender Experts for XDRの詳細」と「Microsoft Defender エキスパートによる追求について学習する」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| Defender Experts アナリストのアクセス許可が作成されました | DefenderExpertsAnalystPermissionCreated | 管理者は、インシデントの調査や脅威の修復を行うために、Defender Experts アナリストに 1 つ以上のロールアクセス許可を付与しました。 |
| Defender Experts アナリストのアクセス許可が変更されました | DefenderExpertsAnalystPermissionModified | 管理者は、インシデントを調査したり脅威を修復したりするために、Defender Experts アナリストのロールのアクセス許可を変更しました。 |
Microsoft Defender for Identityアクティビティ
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender for Identityのアクティビティを示します。
Microsoft Defender for Identityアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 更新されたエンティティ タグ | TaggingConfigurationUpdated | タグがエンティティに追加または削除されました。 |
| 除外の構成を追加しました | ExclusionConfigurationAdded | アラートまたはエンティティに対してグローバル除外が追加されました。 |
| 除外の構成を更新しました | ExclusionConfigurationUpdated | アラートまたはエンティティのグローバル除外が更新されました。 |
| 削除された除外の構成 | ExclusionConfigurationDeleted | アラートまたはエンティティのグローバル除外が削除されました。 |
| アラートしきい値の構成を更新しました | WorkspaceAlertThresholdLevelUpdated | アラートしきい値の構成が更新されました。 |
| ダウンロードしたセキュリティ アラート Excel | AlertExcelDownloaded | アラートの詳細な Excel ファイルがダウンロードされました。 |
| 修復アクションを追加しました | RemediationActionAdded | 修復アクションがキューに追加されました。 |
| 修復アクションの更新 | RemediationActionUpdated | 修復アクションが完了しました。 |
| センサー構成の更新 | SensorConfigurationUpdated | センサーの構成が更新されました。 |
| センサーを追加しました | SensorCreated | 新しいセンサーが追加されました。 |
| センサーを削除しました | SensorDeleted | センサーが削除されました。 |
| センサーのデプロイ キーを取得しました | SensorDeploymentAccessKeyReceived | センサーのアクセス キーが取得されました。 |
| 再生成されたセンサーデプロイ キー | SensorDeploymentAccessKeyUpdated | センサーのアクセス キーが再生成されました。 |
| ダウンロードしたドメイン コントローラーカバレッジ Excel | DomainControllerCoverageExcelDownloaded | ドメイン コントローラー カバレッジの Excel ファイルがダウンロードされました。 |
| ディレクトリ サービス アカウントの構成を更新しました | DirectoryServicesAccountConfigurationUpdated | ディレクトリ サービス アカウント セットが変更されました。 |
| 修復アクションの構成を更新しました | RemediationActionConfigurationUpdated | [アクション アカウントの管理] セットが変更されました。 |
| 更新されたエンティティ修復構成 | EntityRemediatorConfigurationUpdated | [アクション アカウントの管理] モードが変更されました。 |
| 正常性の問題を更新しました | MonitoringAlertUpdated | 正常性の問題が変更されました。 |
| レポートのダウンロード | ReportDownloaded | レポートがダウンロードされました。 |
| 更新されたレポーター構成 | ReporterConfigurationUpdated | レポートのスケジュールが変更されました。 |
| Syslog 転送構成を更新しました | SyslogServiceConfigurationUpdated | syslog 転送構成が変更されました。 |
| セキュリティ通知の構成を更新しました | NotificationConfigurationUpdated | セキュリティ アラートまたは正常性の問題通知の構成が変更されました。 |
| アラート通知の受信者を追加しました | AlertNotificationsRecipientAdded | 受信者がセキュリティ アラート通知の構成に追加されました。 |
| アラート通知の受信者を削除しました | AlertNotificationsRecipientDeleted | 受信者がセキュリティ アラート通知の構成から削除されました。 |
| 正常性の問題の通知受信者を追加しました | MonitoringAlertNotificationRecipientAdded | 正常性の問題の通知構成に受信者が追加されました。 |
| 削除された正常性の問題の通知受信者 | MonitoringAlertNotificationRecipientDeleted | 受信者がヒートイシュー通知構成から削除されました。 |
| VPN 構成の更新 | VpnConfigurationUpdated | VPN (radius アカウンティング) 構成が変更されました。 |
| 統合 RBAC 構成の更新 | URbacAuthorizationStatusChanged | 統合ロールベースのAccess Control構成が変更されました。 |
| 作成されたワークスペース | WorkspaceCreated | ワークスペースが作成されました。 |
| 削除されたワークスペース | WorkspaceDeleted | ワークスペースが削除されました。 |
カスタム検出アクティビティのMicrosoft Defender XDR
次の表は、Microsoft 365 監査ログに記録されるMicrosoft Defender XDRのカスタム検出アクティビティの一覧です。 カスタム検出のMicrosoft Defender XDRの詳細については、「カスタム検出ルールの作成と管理」を参照してください。
Microsoft Defender XDRアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成されたカスタム検出ルール | CreateCustomDetection | 新しいカスタム検出ルールが作成されました。 |
| 編集されたカスタム検出ルール | EditCustomDetection | カスタム検出ルールが変更されました。 |
| カスタム検出ルールの状態を変更しました | ChangeCustomDetectionRuleStatus | カスタム検出ルールがオフまたはオンになりました。 |
| カスタム検出ルールを実行しました | RunCustomDetection | カスタム検出ルールが手動で実行されました。 |
| 削除されたカスタム検出ルール | DeleteCustomDetection | カスタム検出ルールが削除されました。 |
インシデントアクティビティのMicrosoft Defender XDR
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender XDRのインシデント アクティビティを示します。 Microsoft Defender XDRのインシデントの詳細については、「インシデントの概要」を参照してください。
Microsoft Defender XDRアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| インシデントにコメントを追加しました | AddCommentToIncident。 | インシデントにコメントを追加しました。 |
| インシデントに割り当てられたユーザー | AssignUserToIncident | インシデントに割り当てられたユーザー。 |
| インシデントに割り当てられていないユーザー | UnAssignUserFromIncident | インシデントに割り当てられていないユーザー。 |
| 更新されたインシデントの状態 | UpdateIncidentStatus | インシデントの状態を更新しました。 |
| インシデント分類の編集 | EditIncidentClassification | インシデント分類を編集します。 |
| インシデントにタグを追加しました | AddTagsToIncident | インシデントにタグを追加しました。 |
| インシデントからタグを削除しました | RemoveTagsFromIncident | インシデントからタグを削除しました。 |
抑制ルールアクティビティのMicrosoft Defender XDR
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender XDRの抑制ルールのアクティビティを示します。 Microsoft Defender XDRの抑制ルールの詳細については、「抑制ルールの管理」を参照してください。
Microsoft Defender XDRアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成された抑制ルール | CreateSuppressionRule | アラート抑制ルールを作成しました。 |
| 編集された抑制ルール | EditSuppressionRule | アラート抑制ルールを削除しました。 |
| 抑制ルールを有効にする | EnableSuppressionRule | アラート抑制ルールを有効にしました。 |
| 抑制ルールを無効にしました | DisableSuppressionRule | アラート抑制ルールを無効にしました。 |
| 削除された抑制ルール | DeleteSuppressionRule | アラート抑制ルールを削除しました。 |
Microsoft Entraグループ管理活動
次の表に、管理者かユーザーが Microsoft 365 グループを作成または変更したとき、あるいは管理者が Microsoft 365 管理センターか Azure 管理ポータルを使用してセキュリティ グループを作成したときに記録されるグループ管理アクティビティを示します。 Microsoft 365 のグループの詳細については、「Microsoft 365 管理センターでグループを表示、作成、削除する」を参照してください。
注:
次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| グループの追加 | グループを追加します。 | グループが作成されました。 |
| グループへのメンバーの追加 | グループにメンバーを追加する | メンバーがグループに追加されました。 |
| グループの削除 | グループを削除します。 | グループが削除されました。 |
| グループからのメンバーの削除 | グループからメンバーを削除します。 | メンバーがグループから削除されました。 |
| グループの更新 | グループを更新します。 | グループのプロパティが変更されました。 |
Microsoft Fabric アクティビティ
監査ログで Power BI のアクティビティを検索できます。 監査設定の詳細については、「 監査と使用状況のテナント設定」を参照してください。
Microsoft 365 組織では、監査ログが既定で有効になっています。 organizationに対して監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。 手順については、「 監査を有効にする」を参照してください。
Microsoft Forms アクティビティ
このセクションの表には、監査ログに記録された Microsoft Forms のユーザー アクティビティおよび管理者アクティビティの一覧が表示されています。 Microsoft Forms は、データを収集し分析するために使用するフォーム/クイズ/アンケート ツールです。 下記の説明に別途記載するとおり、一部の操作には追加のアクティビティ パラメーターが含まれます。
Forms アクティビティが共同編集者または匿名レスポンダーによって実行された場合、ログに記録される方法が若干異なります。 詳細については、共同作成者および匿名のレスポンダーによって実行される Forms アクティビティ セクションを参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| コメントが作成される | CreateComment | フォーム所有者がコメントまたはスコアをクイズに追加する。 |
| フォームが作成される | CreateForm | フォーム所有者が新しいフォームを作成する。 プロパティ DataMode:string は、プロパティ値が DataSync と等しい場合、現在のフォームが新規または既存の Excel ブックと同期するように設定されていることを示します。 プロパティ ExcelWorkbookLink:string は、関連する現在のフォームの Excel ブック ID を示します。 |
| フォームが編集される | EditForm | フォーム所有者が質問の作成、削除、編集など、フォームを編集する。 プロパティ EditOperation:string は、編集操作名を示します。 次の操作を実行できます。 - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme FormImage には、クエリ内や背景テーマなど、ユーザーが画像をアップロードできるフォーム内のすべての場所が含まれます。 |
| フォームが移動される | MoveForm | フォーム所有者がフォームを移動する。 プロパティ DestinationUserId:string は、フォームを移動したユーザーのユーザー ID を示します。 プロパティ NewFormId:string は、新たにコピーされたフォームの新しい ID です。 プロパティ IsDelegateAccess:boolean は、現在のフォーム移動アクションが管理委任ページ経由で実行されていることを示します。 |
| フォームが削除される | DeleteForm | フォーウ所有者がフォームを削除する。 これには、SoftDelete (削除オプションが使用され、フォームがごみ箱に移動されます) と HardDelete (ごみ箱が空になります) が含まれます。 |
| フォームが表示される (デザイン時) | ViewForm | フォーム所有者が既存のフォームを編集するために開く。 プロパティ AccessDenied:boolean は、現在のフォームのアクセスがアクセス許可チェックで拒否されたことを示します。 プロパティ FromSummaryLink:boolean は、現在の要求が概要リンクページで発生したことを示します。 |
| フォームがプレビューされる | PreviewForm | フォーム所有者がプレビュー機能を使用してフォームをプレビューする。 |
| フォームがエクスポートされる | ExportForm | フォーム所有者が結果を Excel にエクスポートする。 プロパティ ExportFormat:string は、Excel ファイルがダウンロードなのかオンラインなのかを示します。 |
| コピー用のフォームの共有が許可される | AllowShareFormForCopy | フォームを他のユーザーと共有するためのテンプレート リンクをフォーム所有者が作成する。 このイベントは、フォーム所有者がテンプレート URL の生成を選択したときにログに記録されます。 |
| コピー用のフォームの共有が許可されない | DisallowShareFormForCopy | フォーム所有者がテンプレートリンクを削除する。 |
| フォームの共同編集者が追加される | AddFormCoauthor | 回答のデザインや表示のための共同作業リンクをユーザーが使用する。 このイベントは、共同作業 URL が最初に生成されたときではなくユーザーが共同作業 URL を使用したときにログに記録されます。 |
| フォームの共同編集者が削除される | RemoveFormCoauthor | フォーム所有者が共同作業リンクを削除する。 |
| 回答ページが表示される | ViewRuntimeForm | ユーザーが回答ページを開いて表示する。 このイベントは、ユーザーが回答を送信するかどうかに関わらずログに記録されます。 |
| 回答が作成される | CreateResponse | 新しい回答の受信と似ています。 ユーザーがフォームへの回答を送信しました。 プロパティ ResponseId:string とプロパティ ResponderId:string は、どの結果が表示されたかを示します。 匿名レスポンダーの場合、ResponderId プロパティは null です。 |
| 回答が更新される | UpdateResponse | フォーム所有者がクイズのコメントまたはスコアを更新した。 プロパティ ResponseId:string とプロパティ ResponderId:string は、どの結果が表示されたかを示します。 匿名レスポンダーの場合、ResponderId プロパティは null です。 |
| すべての回答が削除される | DeleteAllResponses | フォーム所有者がすべての回答データを削除する。 |
| 回答が削除される | DeleteResponse | フォーム所有者が回答を 1 件削除する。 プロパティ ResponseId:string は、削除される回答を示します。 |
| 複数の回答が表示される | ViewResponses | フォーム所有者が回答の集計リストを表示する。 プロパティ ViewType:string は、フォーム所有者は「詳細」を表示しているのか、「集計」を表示しているのかを示します。 |
| 1 件の回答が表示される | ViewResponse | フォーム所有者が特定の 1 件の回答を表示する。 プロパティ ResponseId:string とプロパティ ResponderId:string は、どの結果が表示されたかを示します。 匿名レスポンダーの場合、ResponderId プロパティは null です。 |
| 概要リンクが作成される | GetSummaryLink | 結果を共有するための概要結果リンクをフォーム所有者が作成する。 |
| 概要リンクが削除される | DeleteSummaryLink | フォーム所有者が概要結果リンクを削除する。 |
| フォームのフィッシング状態が更新される | UpdatePhishingStatus | このイベントは、内部セキュリティ状態の詳細値が変更されたとき、この変更により最終的なセキュリティの状態 (たとえば、現在フォームは「終了済み」または「開始済み」) が変更されたかどうかに関わらずログに記録されます。 つまり、最終的なセキュリティ状態が変更されない場合でも、重複するイベントが表示されることがあります。 このイベントの可能な状態の値は次のとおりです。 - 削除 - 管理者による削除 - 管理者のブロック解除 - 自動ブロック - 自動ブロック解除 - 顧客から報告 - 顧客からの報告をリセット |
| ユーザーのフィッシング状態が更新される | UpdateUserPhishingStatus | このイベントは、ユーザーのセキュリティ状態の値が変更されるたびにログに記録されます。 監査レコードのユーザー状態の値は、ユーザーが Microsoft Online の安全チームによって削除されたフィッシング フォームを作成したときに、フィッシング詐欺師として確認されました。 管理者がユーザーのブロックを解除すると、ユーザーの状態の値は [通常のユーザーとしてリセット] に設定されます。 |
| Forms Pro の招待が送信される | ProInvitation | ユーザーが Pro 試用版をアクティブ化することを選択します。 |
| フォームの設定が更新される | UpdateFormSetting | フォーム所有者は 1 つ以上のフォーム設定を更新します。 プロパティ FormSettingName:string は、更新済みの機密設定の名前を示します。 プロパティ NewFormSettings:string は、更新済みの設定の名前および新しい値を示します。 プロパティ thankYouMessageContainsLink:boolean は、URL リンクを含む更新済みの感謝メッセージを示します。 |
| ユーザー設定が更新される | UpdateUserSetting | フォーム所有者がユーザー設定を更新する。 プロパティ UserSettingName:string は、設定名と新しい値を示します。 |
| フォームが一覧表示される | ListForms | フォーム所有者がフォームの一覧を表示している。 プロパティ ViewType:string は、フォーム所有者が表示に使用しているビュー ([すべてのフォーム]、[自分と共有]、または [グループ フォーム]) を示します。 |
| 回答が送信される | SubmitResponse | ユーザーがフォームへの回答を送信する。 プロパティ IsInternalForm:boolean は、回答者がフォーム所有者と同じ組織内にいるかどうかを示します。 |
| すべてのユーザーを応答可能にする設定を有効にしました | AllowAnonymousResponse | フォーム所有者が、すべてのユーザーにフォームへの応答を許可する設定をオンにしている。 |
| すべてのユーザーを応答可能にする設定を無効にしました | DisallowAnonymousResponse | フォーム所有者が、すべてのユーザーにフォームへの応答を許可する設定をオフにしている。 |
| 特定のユーザーを応答可能にする設定を有効にしました | EnableSpecificResponse | フォーム所有者が、現在の組織の特定のユーザーまたは特定のグループのみフォームへの応答を許可する設定をオンにしている。 |
| 特定のユーザーを応答可能にする設定を無効にしました | DisableSpecificResponse | フォーム所有者が、現在の組織の特定のユーザーまたは特定のグループのみフォームへの応答を許可する設定をオフにしている。 |
| 特定の回答者を追加しました | AddSpecificResponder | フォーム所有者が特定の回答者リストに新しいユーザーまたはグループを追加する。 |
| 特定の回答者を削除しました | RemoveSpecificResponder | フォーム所有者がに新しいユーザーまたはグループを特定の回答者リストから削除する。 |
| 共同作業を無効にしました | DisableCollaboration | フォーム所有者がフォームでの共同作業の設定をオフにしている。 |
| Office 365 での職場または学校アカウントの共同作業を有効にしました | EnableWorkOrSchoolCollaboration | フォーム所有者が、Microsoft 365 の職場または学校アカウントを使用するユーザーにフォームの表示および編集を許可する設定をオンにしている。 |
| 所属組織内のユーザーの共同作業を有効にしました | EnableSameOrgCollaboration | フォーム所有者が、現在の組織のユーザーにフォームの表示および編集を許可する設定をオンにしている。 |
| 特定のユーザーの共同作業を有効にしました | EnableSpecificCollaboaration | フォーム所有者が、現在の組織の特定のユーザーまたは特定のグループのみフォームへの表示および編集を許可する設定をオンにしている。 |
| Excel ブックに接続しました | ConnectToExcelWorkbook | フォームを Excel ブックに接続しました。 プロパティ ExcelWorkbookLink:string は、関連する現在のフォームの Excel ブック ID を示します。 |
| コレクションの作成 | CollectionCreated | フォーム所有者がコレクションを作成しました。 |
| コレクションの更新 | CollectionUpdated | フォーム所有者がコレクション プロパティを更新しました。 |
| ごみ箱からのコレクションの削除 | CollectionHardDeleted | フォーム所有者がごみ箱からコレクションを物理的に削除しました。 |
| ごみ箱へのコレクションの移動 | CollectionSoftDeleted | フォーム所有者がコレクションをごみ箱に移動しました。 |
| コレクションの名前の変更 | CollectionRenamed | フォーム所有者がコレクションの名前を変更しました。 |
| フォームへのコレクションの移動 | MovedFormIntoCollection | フォームの所有者がフォームをコレクションに移動しました。 |
| フォームをコレクションから移動しました | MovedFormOutofCollection | フォームの所有者がフォームをコレクションから移動しました。 |
共同作成者および匿名のレスポンダーによって実行される Forms アクティビティ
Forms は、フォームの設計時および回答の分析時の協同作業をサポートします。 フォームの協力者は、共同作成者 として知られています。 共同作成者は、フォームの削除または移動を除き、フォームの所有者が実行できるすべての操作を実行できます。 また、Forms を使用すると、匿名で回答できるフォームを作成できます。 これは、フォームに回答するためにレスポンダーが組織にサインインする必要がないことを意味します。
次の表は、共同作成者と匿名のレスポンダーによって実行されたアクティビティの監査アクティビティおよび監査レコードの情報を示しています。
| アクティビティの種類 | 内部または外部ユーザー | ログに記録されたユーザー ID | ログインしている組織 | Forms ユーザーの種類 |
|---|---|---|---|---|
| 共同編集のアクティビティ | 内部 | UPN | フォームの所有者の組織 | 共同編集者 |
| 共同編集のアクティビティ | 外部 | UPN |
共同作成者の組織 |
共同編集者 |
| 共同編集のアクティビティ | 外部 | urn:forms:coauthor#a0b1c2d3@forms.office.com(ID の 2 番目の部分はハッシュであり、ユーザーによって異なります) |
フォームの所有者の組織 |
共同編集者 |
| 回答アクティビティ | 外部 | UPN |
レスポンダーの組織 |
レスポンダー |
| 回答アクティビティ | 外部 | urn:forms:external#a0b1c2d3@forms.office.com(ユーザー ID の 2 番目の部分はハッシュであり、ユーザーによって異なります) |
フォームの所有者の組織 | レスポンダー |
| 回答アクティビティ | 匿名 | urn:forms:anonymous#a0b1c2d3@forms.office.com(ユーザー ID の 2 番目の部分はハッシュであり、ユーザーによって異なります) |
フォームの所有者の組織 | レスポンダー |
Microsoft Graph データ接続
次の表に、監査のためにログに記録される Microsoft Graph Data Connect のユーザーアクティビティと管理者アクティビティの一覧を示します。 テーブルには、[ アクティビティ ] 列に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| アプリを承認または拒否しました | ConsentModificationRequest | ユーザーが同意の変更要求を実行しました。 |
| 抽出の実行 | DataAccessRequestOperation | ユーザーが抽出を実行しました。 パートナー データセットと ISV 実行は除外されます。 |
Microsoft Plannerアクティビティ
次の表は、監査のためにログに記録されるMicrosoft Plannerのユーザーアクティビティと管理者アクティビティの一覧です。 テーブルには、[ アクティビティ ] 列に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。
注:
Plannerのポートフォリオ アクティビティは、Microsoft Project for Web ロードマップ アクティビティでログに記録されます。 詳細については、「Microsoft Project for the web アクティビティ」セクションを参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| プランの読み取り | PlanRead | プランは、ユーザーまたはアプリによって読み取られます。 読み取り操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ContainerType は ContainerType.Invalid を示し、ContainerId は null を示します。 |
| プランを作成しました | PlanCreated | プランは、ユーザーまたはアプリによって作成されます。 作成操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ObjectId は null を示し、ContainerType は ContainerType.Invalid を示し、ContainerId は null を示します。 |
| プランを変更しました | PlanModified | プランは、ユーザーまたはアプリによって変更されます。 |
| プランを削除しました | PlanDeleted | プランは、ユーザーまたはアプリによって削除されます。 |
| プランをコピーしました | PlanCopied | プランは、ユーザーまたはアプリによってコピーされます。 コピー操作が ResultStatus.Failure または ResultStatus.Failure の場合、newPlanId は null、newContainerType は ContainerType.Invalid、newContainerId は null を示します。 |
| タスクの読み取り | TaskRead | タスクは、ユーザーまたはアプリによって読み取られます。 読み取り操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、PlanId は null を示します。 |
| タスクを作成しました | TaskCreated | タスクは、ユーザーまたはアプリによって作成されます。 作成操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ObjectId は null を示し、PlanId は null を示します。 |
| タスクを変更しました | TaskModified | タスクは、ユーザーまたはアプリによって変更されます。 |
| タスクを削除しました | TaskDeleted | タスクは、ユーザーまたはアプリによって削除されます。 |
| タスクの割り当て | TaskAssigned | タスクの担当者は、ユーザーまたはアプリによって変更されます。 これは、割り当て済みの未割り当てタスク、または割り当てられたタスクに新しい担当者が含まれます。 |
| タスクを完了しました | TaskCompleted | タスクは、ユーザーまたはアプリによって完了済みとしてマークされます。 |
| 名簿を作成しました | 名簿作成 | 名簿は、ユーザーまたはアプリによって作成されます。 作成操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ObjectId は null を示し、MemberIds は空の文字列を示します。 |
| 名簿を削除しました | RosterDeleted | 名簿は、ユーザーまたはアプリによって削除されます。 |
| 名簿にメンバーを追加しました | RosterMemberAdded | メンバーが名簿に追加されます。 追加操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、MemberIds は試行されたメンバー ID の一覧を示します。 |
| メンバーを名簿に削除しました | RosterMemberDeleted | メンバーが名簿から削除されます。 削除操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、MemberIds は試行されたメンバー ID の一覧を示します。 |
| プランの一覧を読み取る | PlanListRead | プランの一覧は、ユーザーまたはアプリによって照会されます。 クエリ操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、PlanList は空の文字列を示します。 |
| タスクの一覧を読み取る | TaskListRead | タスクの一覧は、ユーザーまたはアプリによって照会されます。 クエリ操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、TaskList は空の文字列を示します。 |
| テナント設定の更新 | TenantSettingsUpdated | テナント設定は、テナント管理者によって更新されます。更新操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ObjectId は元の設定を示し、TenantSettings はテナント設定の試行を示します。 |
| 名簿の秘密度ラベルを更新しました | RosterSensitivityLabelUpdated | ユーザーまたはアプリは、名簿の秘密度ラベルを更新します。 |
Microsoft Power Apps アクティビティ
Power Apps では、アプリ関連のアクティビティの監査ログを検索できます。 これらのアクティビティには、アプリの作成、起動、公開が含まれます。 アプリへのアクセス許可の割り当ても監査されます。 Power Apps のすべてのアクティビティの説明については、「Activity logging for Power Apps のアクティビティのログ」を参照してください。
注:
アラート ポリシー (保護アラート) 監査イベント (RecordType:45) は現在、PowerAppsではサポートされていません。
Microsoft Power Automate のアクティビティ
Power Automate (旧称: Microsoft Flow) では、監査ログを検索できます。 これらのアクティビティには、フローの作成、編集、および削除と、フローのアクセス許可の変更があります。 Power Automate アクティビティの監査の詳細については、 コンプライアンス ポータルで利用可能になった Power Automate 監査イベントに関するブログを参照してください。
Microsoft Project for the web アクティビティ
監査ログで、Microsoft Project for the webのアクティビティを検索できます。 Microsoft Project for the webは Microsoft Dataverse 上に構築され、Project Power App が関連付けられています。 ユーザーが Microsoft Dataverse または Project Power App を使用しているシナリオの監査を有効にするには、 システム設定の [監査] タブのガイダンスを 参照してください。 Project for the webに関連するエンティティの一覧については、「Project for the webからのユーザー データのエクスポート」ガイダンスを参照してください。
Microsoft Project for the webの詳細については、「Microsoft Project for the web」を参照してください。
注:
Microsoft Project for the web アクティビティの監査イベントには、有料のProject Plan 1 ライセンス (またはそれ以上) が必要です。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成されたプロジェクト | ProjectCreated | プロジェクトは、ユーザーまたはアプリによって作成されます。 |
| 作成されたロードマップ | ロードマップ作成 | ロードマップまたはポートフォリオは、ユーザーまたはアプリによって作成されます。 |
| 作成されたロードマップ項目 | RoadmapItemCreated | ロードマップまたはポートフォリオ アイテムは、ユーザーまたはアプリによって作成されます。 |
| 作成されたタスク | TaskCreated | タスクは、ユーザーまたはアプリによって作成されます。 |
| 削除されたプロジェクト | ProjectDeleted | プロジェクトは、ユーザーまたはアプリによって削除されます。 |
| 削除されたロードマップ | ロードマップDeleted | ロードマップまたはポートフォリオは、ユーザーまたはアプリによって削除されます。 |
| 削除されたロードマップ項目 | RoadmapItemDeleted | ロードマップまたはポートフォリオ アイテムは、ユーザーまたはアプリによって削除されます。 |
| 削除されたタスク | TaskDeleted | タスクはユーザーまたはアプリによって削除されます。 |
| アクセスされたプロジェクト | ProjectAccessed | プロジェクトは読み取りまたはアプリです。 |
| プロジェクト ホームにアクセスしました | ProjectListAccessed | プロジェクトやロードマップの一覧は、ユーザーによって照会されます。 |
| ロードマップにアクセスしました | ロードマップアクセス済み | ロードマップまたはポートフォリオは、ユーザーまたはアプリによって読み取られます。 |
| ロードマップ項目にアクセスしました | RoadmapItemAccessed | ロードマップまたはポートフォリオ アイテムは、ユーザーまたはアプリによって読み取られます。 |
| アクセスされたタスク | TaskAccessed | タスクは、ユーザーまたはアプリによって読み取られます。 |
| 更新されたプロジェクト設定 | ProjectForTheWebProjectSettings | プロジェクト設定は管理者によって更新されます。 |
| ロードマップの更新 | RoadmapUpdated | ロードマップまたはポートフォリオは、ユーザーまたはアプリによって変更されます。 |
| ロードマップ項目を更新しました | RoadmapItemUpdated | ロードマップまたはポートフォリオ アイテムは、ユーザーまたはアプリによって変更されます。 |
| ロードマップの設定を更新しました | ProjectForTheWebRoadmaptSettings | ロードマップまたはポートフォリオの設定は、管理者によって更新されます。 |
| 更新されたタスク | TaskUpdated | タスクは、ユーザーまたはアプリによって変更されます。 |
| 更新されたプロジェクト | ProjectUpdated | プロジェクトは、ユーザーまたはアプリによって変更されます。 |
ソリューション アクティビティのMicrosoft Purview 監査
次の表に、Microsoft Purview ポータル、Microsoft Purview コンプライアンス ポータル、監査検索Graph APIの監査ソリューションに関連付けられているアクティビティを示します。 これらのアクティビティは、 SecurityComplianceCenter ワークロードで監査されます。 詳細については、「監査ログの検索」を参照してください。
Search-UnifiedAuditLog を使用して実行された検索アクティビティとエクスポート アクティビティの監査は監査されません。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成された監査検索 | AuditSearchCreated | 新しい監査検索要求が送信されます。 |
| 監査検索が完了しました | AuditSearchCompleted | 監査検索ジョブが完了しました。 |
| 監査検索が取り消されました | AuditSearchCancelled | 監査検索ジョブが取り消されます。 |
| 監査検索が削除されました | AuditSearchDeleted | 監査検索ジョブが削除されます。 |
| 作成された監査検索エクスポート ジョブ | AuditSearchExportJobCreated | 監査検索クエリの検索結果をエクスポートするエクスポート ジョブが作成されます。 |
| 検索エクスポート ジョブの監査が完了しました | AuditSearchExportJobCompleted | 監査検索クエリの検索結果をエクスポートするエクスポート ジョブが完了しました。 |
| ダウンロードした監査検索エクスポートの結果 | AuditSearchExportResultsDownloaded | 監査検索クエリの検索結果がダウンロードされました。 |
Microsoft Purview ガバナンス アクティビティ
次の表に、Microsoft 365 監査ログに記録される Microsoft Purview ガバナンス アクティビティの一覧を示します。 詳細については、「 Microsoft Purview ガバナンス ソリューション」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成された資産またはエンティティ | EntityCreated | 新しい資産またはエンティティが作成されるか、既存の資産に追加されます。 |
| 分類の追加 | ClassificationAdded | 資産エンティティに分類を追加します。 |
| 作成された分類定義 | ClassificationDefinitionCreated | 分類の種類を作成します。 |
| 分類定義が削除されました | ClassificationDefinitionDeleted | 分類の種類を削除します。 |
| 分類定義が更新されました | ClassificationDefinitionUpdated | 分類の種類を更新します。 |
| 分類が削除されました | ClassificationDeleted | 資産エンティティから分類を削除します。 |
| 分類の更新 | ClassificationUpdated | 資産エンティティの分類を更新します。 |
| 削除されたエンティティ | EntityDeleted | 資産またはエンティティは、既存の資産から削除されます。 |
| エンティティが更新されました | EntityUpdated | 含まれるもの: 属性の更新、ビジネス属性の更新、コレクション情報 (コレクション ID のみを含む)、連絡先の更新、customAttributes、階層、homeId、ラベル、sourceDetails |
| 用語集の用語が割り当てられている | GlossaryTermAssigned | 資産エンティティに用語を割り当てます。 |
| 用語集の用語が作成されました | GlossaryTermCreated | 用語を作成します。 |
| 用語集の用語が削除されました | GlossaryTermDeleted | 用語を削除します。 |
| 用語集の用語の関連付け解除 | GlossaryTermDisassociated | 資産エンティティから用語の関連付けを解除します。 |
| 用語集の用語が更新されました | GlossaryTermUpdated | 用語を更新します。 |
| 秘密度ラベルを変更済み | SensitivityLabelChanged | 秘密度ラベルが追加/更新/削除されます。 |
Microsoft Stream アクティビティ
監査ログで Microsoft Stream のアクティビティを検索できます。 これらのアクティビティには、ユーザーが実行するビデオ アクティビティ、グループ チャネル アクティビティ、管理アクティビティ (ユーザーの管理、組織の設定の管理、レポートのエクスポートなど) が含まれます。 これらのアクティビティの詳細については、「Microsoft Stream の監査ログ」の「Stream に記録されたアクション」を参照してください。
Microsoft Teams アクティビティ
次の表に、Microsoft 365 監査ログに記録されるアクティビティMicrosoft Teams一覧を示します。 監査ログで Microsoft Stream のユーザーおよび管理者のアクティビティを検索できます。 Teams は Microsoft 365 のチャット中心のワークスペースです。 これにより、チームの会話、会議、ファイル、およびノートが 1 つの場所に集められます。 詳細な検索ガイダンスについては、「 Microsoft Teamsのイベントの監査ログを検索する」を参照してください。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
| フレンドリ名 | 操作名 | 説明 |
|---|---|---|
| チームへのボットの追加 | BotAddedToTeam | ユーザーがチームにボットを追加しました。 |
| チャネルの追加 | ChannelAdded | ユーザーがチームにチャネルを追加しました。 |
| コネクタの追加 | ConnectorAdded | ユーザーがチャネルにコネクタを追加しました。 |
| Teams 会議 5 の詳細を追加しました | MeetingDetail | Teams は、開始時刻、終了時刻、会議に参加するための URL など、会議に関する情報を追加しました。 |
| 会議参加者に関する情報を追加しました 5 | MeetingParticipantDetail | Teams は、各参加者のユーザー ID、参加者が会議に参加した時刻、参加者が会議を離れた時刻など、会議の参加者に関する情報を追加しました。 |
| メンバー 6、8 を追加しました | MemberAdded | チームの所有者が、チーム、チャネル、またはグループ チャットにメンバーを追加しました。 |
| タブの追加 | TabAdded | ユーザーがチャネルにタブを追加しました。 |
| 適用された秘密度ラベル | SensitivityLabelApplied | ユーザーまたは会議の開催者は、Teams 会議に秘密度ラベルを適用しました。 |
| チャネルの設定の変更 | ChannelSettingChanged | 次のアクティビティがチーム メンバーにより実行されると、ChannelSettingChanged 操作が記録されます。 これらのアクティビティごとに、監査ログの検索結果の [項目 ] 列に変更された設定の説明 (かっこで囲んで表示) が表示されます。
|
| 組織の設定の変更 | TeamsTenantSettingChanged | TeamsTenantSettingChanged 操作は、Microsoft 365 管理センターのグローバル管理者が次のアクティビティを実行するとログに記録されます。 これらのアクティビティは、組織全体の Teams 設定に影響します。 詳細については、「organizationの Teams 設定を管理する」を参照してください。 これらのアクティビティごとに、監査ログの検索結果の [項目 ] 列に変更された設定の説明 (かっこで囲んで表示) が表示されます。
|
| チーム内のメンバーの役割変更 | MemberRoleChanged | チーム所有者がチームのメンバーの役割を変更します。 次の値は、ユーザーに割り当てられたロールの種類を示します。 1 - メンバー ロールを示します。 2 - 所有者ロールを示します。 3 - ゲスト ロールを意味します。 Members プロパティには、organizationの名前とメンバーのメール アドレスも含まれます。 |
| チームの設定の変更 | TeamSettingChanged | 次のアクティビティがチームの所有者により実行されると、TeamSettingChanged 操作が記録されます。 これらのアクティビティごとに、監査ログの検索結果の [項目 ] 列に変更された設定の説明 (かっこで囲んで表示) が表示されます。
|
| 秘密度ラベルを変更しました | SensitivityLabelChanged | ユーザーが Teams 会議で秘密度ラベルを変更しました。 |
| チャットを作成しました 1 | ChatCreated | Teams チャットが作成されました。 |
| チームの作成 | TeamCreated | ユーザーがチームを作成しました。 |
| メッセージを削除しました 2 | MessageDeleted | チャットまたはチャネル内のメッセージが削除されました。 |
| すべてのorganizationアプリを削除しました | DeletedAllOrganizationApps | カタログからすべてのorganization アプリを削除しました。 |
| 削除されたアプリ | AppDeletedFromCatalog | アプリがカタログから削除されました。 |
| チャネルの削除 | ChannelDeleted | ユーザーがチームからチャネルを削除しました。 |
| チームの削除 | TeamDeleted | チーム所有者がチームを削除しました。 |
| Teams の URL リンクを含むメッセージを編集しました | MessageEditedHasLink | ユーザーがメッセージを編集し、Teams で URL リンクを追加します。 |
| エクスポートされたメッセージ 1,2 | MessagesExported | チャットまたはチャネル メッセージがエクスポートされました。 |
| エクスポートされた録音 1 | RecordingExported | チャットの記録がエクスポートされました。 |
| エクスポートされたトランスクリプト 1 | TranscriptsExported | チャットトランスクリプトがエクスポートされました。 |
| 共有チャネル 3 への招待を検証できませんでした | FailedValidation | ユーザーは共有チャネルへの招待に応答しますが、招待の検証に失敗しました。 |
| フェッチされたチャット 1 | ChatRetrieved | Microsoft Teams チャットが取得されました。 |
| メッセージのホストされているすべてのコンテンツをフェッチしました1 | MessageHostedContentsListed | 画像やコード スニペットなど、メッセージ内のすべてのホストされたコンテンツが取得されました。 |
| アプリをインストールしました | AppInstalled | アプリがインストールされました。 |
| カードに対して実行されたアクション | PerformedCardAction | ユーザーがチャット内のアダプティブ カードに対してアクションを実行しました。 アダプティブ カードは、通常、ボットによって使用され、チャットでの情報と対話の豊富な表示を可能にします。 手記:監査ログでは、チャット内のアダプティブ カードに対するインライン入力アクションのみを使用できます。 たとえば、ユーザーがポーリング ボットによって生成されたアダプティブ カードのチャネル会話でポーリング応答を送信するとします。 ダイアログを開く "結果の表示" などのユーザー アクションや、ダイアログ内のユーザー アクションは監査ログでは使用できません。 |
| 新しいメッセージ 1、6、8 を投稿しました | MessageSent | 新しいメッセージがチャットまたはチャネルに投稿されました。 |
| 発行済みアプリ | AppPublishedToCatalog | アプリがカタログに追加されました。 |
| メッセージの読み取り 1 | MessageRead | チャットまたはチャネルのメッセージが取得されました。 |
| メッセージのホストされたコンテンツを読み取る 1 | MessageHostedContentRead | イメージやコード スニペットなどのメッセージ内のホストされたコンテンツが取得されました。 |
| チームからのボットの削除 | BotRemovedFromTeam | ユーザーがチームからボットを削除しました。 |
| コネクタの削除 | ConnectorRemoved | ユーザーは、チャネルからコネクタを削除します。 |
| メンバーを削除しました 8 | MemberRemoved | チームの所有者が、チーム、チャネル、またはグループ チャットからメンバーを削除しました。 |
| 秘密度ラベルを削除しました | SensitivityLabelRemoved | ユーザーが Teams 会議から秘密度ラベルを削除しました。 |
| チーム チャネル 3 の共有を削除しました | TerminatedSharing | チームまたはチャネル所有者は、共有チャネルの共有を無効にしました。 |
| チーム チャネル 3 の共有を復元しました | SharingRestored | チームまたはチャネル所有者は、共有チャネルの共有を再度有効にします。 |
| タブの削除 | TabRemoved | ユーザーがチャネルからタブを削除しました。 |
| 共有チャネル 3 の招待に応答しました | InviteeResponded | ユーザーが共有チャネルの招待に応答しました。 |
| 共有チャネル 3 への招待者の応答に応答しました | ChannelOwnerResponded | チャネル所有者が、共有チャネルの招待に応答したユーザーからの応答に応答しました。 |
| 取得されたメッセージ 1 | MessagesListed | チャットまたはチャネルからのメッセージが取得されました。 |
| Teams で URL リンクを含むメッセージを送信しました | MessageCreatedHasLink | ユーザーは、Teams で URL リンクを含むメッセージを送信します。 |
| メッセージ作成用に送信された変更通知 1 | MessageCreatedNotification | サブスクライブされたリスナー アプリケーションに新しいメッセージを通知する変更通知が送信されました。 |
| メッセージ削除の変更通知を送信 しました 1 | MessageDeletedNotification | サブスクライブされたリスナー アプリケーションに削除されたメッセージを通知する変更通知が送信されました。 |
| メッセージ更新プログラム 1 の送信された変更通知 | MessageUpdatedNotification | 更新されたメッセージをサブスクライブしているリスナー アプリケーションに通知するために、変更通知が送信されました。 |
| 共有チャネルの招待を送信 しました 3 | InviteSent | チャネル所有者またはメンバーが共有チャネルに招待を送信します。 チャネル ポリシーが外部ユーザーとチャネルを共有するように構成されている場合は、共有チャネルへの招待をorganization外のユーザーに送信できます。 |
| メッセージ変更通知をサブスクライブ しました 1 | SubscribedToMessages | メッセージの変更通知を受け取るために、リスナー アプリケーションによってサブスクリプションが作成されました。 |
| アンインストールされたアプリ | AppUninstalled | アプリがアンインストールされました。 |
| 更新されたアプリ | AppUpdatedInCatalog | カタログでアプリが更新されました。 |
| チャット 1 を更新しました | ChatUpdated | Teams チャットが更新されました。 |
| メッセージ 1 を更新しました | MessageUpdated | チャットまたはチャネルのメッセージが更新されました。 |
| コネクタの更新 | ConnectorUpdated | ユーザーがチャネルのコネクタを変更しました。 |
| タブの更新 | TabUpdated | ユーザーがチャネルのタブを変更しました。 |
| アップグレードされたアプリ | AppUpgraded | アプリがカタログの最新バージョンにアップグレードされました。 |
| Teams へのユーザーのサインイン | TeamsSessionStarted | ユーザーが Microsoft Teams クライアントにサインインしました。 このイベントは、トークン更新アクティビティをキャプチャしません。 |
| 投稿された新しいメッセージ 3,4,6, 8 | MessageSent | 新しいメッセージがチャットまたはチャネルに投稿されました。 |
注:
1 このイベントの監査レコードは、Microsoft Graph APIを呼び出して操作を実行した場合にのみ記録されます。 Teams クライアントで操作が実行された場合、監査レコードはログに記録されません
2 このイベントは監査 (Premium) でのみ使用できます。 つまり、これらのイベントが監査ログに記録される前に、ユーザーに適切なライセンスを割り当てる必要があります。 監査 (Premium) でのみ使用できるアクティビティの詳細については、「 Microsoft Purview の監査 (Premium)」を参照してください。 監査 (プレミアム) のライセンス要件については、「Microsoft 365 での監査ソリューション」を参照してください。
3 このイベントはパブリック プレビュー段階です。
4このイベントは、ゲスト、フェデレーション ユーザー、匿名ユーザーが存在する場合にのみ、チャット用に生成されます。
5 このイベントは、現在、Government Community Cloud (GCC)、Government Community Cloud High (GCC-High)、および国防総省 (DoD) 組織では利用できません。
6 このイベントは、フェデレーション チャットに参加しているすべてのテナントに含まれます。
7 このイベントには、1 対 1 のフェデレーション チャットの参加ドメイン情報があります。
8 このイベントは、organizationによって管理されている外部 Teams ユーザーと、organizationによって管理されていない外部 Teams ユーザーとの間のすべてのチャット会話に含まれます。
Microsoft Teams 医療活動アクティビティ
組織で Microsoft Teams の 患者用アプリケーション を使用している場合は、患者アプリの使用に関連するアクティビティの監査ログを検索できます。 患者アプリをサポートするように使用環境が構成されている場合、これらのアクティビティの追加アクティビティグループは、アクティビティ 選択リストに表示されます。
患者アプリのアクティビティの説明については、患者アプリの監査ログをご覧ください。
Microsoft Teams Shifts アクティビティ
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Teamsアクティビティの Shift アプリの一覧を示します。 組織で Microsoft Teams の Shifts アプリを使用している場合は、Shifts アプリの使用に関連するアクティビティの監査ログを検索できます。 Shifts アプリをサポートするように使用環境が構成されている場合、これらのアクティビティの追加アクティビティ グループは、[アクティビティ] 選択リストに表示されます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| スケジュール グループを追加しました | ScheduleGroupAdded | ユーザーがスケジュールに新しいスケジュール グループを正常に追加しました。 |
| 編集済みスケジュール グループ | ScheduleGroupEdited | ユーザーがスケジュール グループを正常に編集しました。 |
| 削除されたスケジュール グループ | ScheduleGroupDeleted | ユーザーがスケジュールからスケジュール グループを正常に削除しました。 |
| 取り下げスケジュール | ScheduleWithdrawn | ユーザーが発行されたスケジュールを正常に取り消しました。 |
| シフトを追加しました | ShiftAdded | ユーザーがシフトを正常に追加しました。 |
| 編集されたシフト | ShiftEdited | ユーザーがシフトを正常に編集しました。 |
| 削除されたシフト | ShiftDeleted | ユーザーがシフトを正常に削除しました。 |
| 休暇を追加しました | TimeOffAdded | ユーザーがスケジュールに基づいて休暇を正常に追加しました。 |
| 編集済みの休暇 | TimeOffEdited | ユーザーが休暇を正常に編集しました。 |
| 削除された休暇 | TimeOffDeleted | ユーザーが休暇を正常に削除しました。 |
| オープン シフトを追加しました | OpenShiftAdded | ユーザーがスケジュール グループにオープン シフトを正常に追加しました。 |
| 編集済みのオープン シフト | OpenShiftEdited | ユーザーがスケジュール グループのオープン シフトを正常に編集しました。 |
| 削除されたオープン シフト | OpenShiftDeleted | ユーザーがスケジュール グループからオープン シフトを正常に削除しました。 |
| 共有スケジュール | ScheduleShared | ユーザーは、日付範囲のチーム スケジュールを正常に共有しました。 |
| 時刻クロックを使用してクロックインする | ClockedIn | ユーザーは、タイム クロックを使用して正常にクロックインします。 |
| タイム クロックを使用して退勤 | ClockedOut | ユーザーは、タイム クロックを使用して正常に退勤します。 |
| タイム クロックを使用して中断を開始しました | BreakStarted | ユーザーは、アクティブなタイム クロック セッション中に中断を正常に開始します。 |
| タイム クロックを使用して中断を終了しました | BreakEnded | ユーザーは、アクティブなタイム クロック セッション中に中断を正常に終了します。 |
| タイム クロック エントリを追加しました | TimeClockEntryAdded | ユーザーがタイム シートに新しい手動の時刻クロック エントリを正常に追加しました。 |
| 編集された時刻クロック エントリ | TimeClockEntryEdited | ユーザーがタイム シートのタイム クロック エントリを正常に編集しました。 |
| 削除された時刻クロック エントリ | TimeClockEntryDeleted | ユーザーがタイム シートのタイム クロック エントリを正常に削除しました。 |
| シフト要求を追加しました | RequestAdded | ユーザーがシフト要求を追加しました。 |
| シフト要求に応答しました | RequestRespondedTo | ユーザーがシフト要求に応答しました。 |
| キャンセルされたシフト要求 | RequestCancelled | ユーザーがシフト要求を取り消しました。 |
| スケジュール設定の変更 | ScheduleSettingChanged | ユーザーが Shifts 設定の設定を変更します。 |
| 従業員の統合を追加しました | WorkforceIntegrationAdded | Shifts アプリは、サード パーティのシステムと統合されています。 |
| シフトオフメッセージを受け入れる | OffShiftDialogAccepted | ユーザーは、シフト時間が経過した後に Teams にアクセスするためのオフシフト メッセージを確認します。 |
Microsoft Teams Updatesアクティビティ
次の表Updates、Microsoft 365 監査ログに記録されるアクティビティMicrosoft Teamsアプリの一覧です。 organizationがMicrosoft TeamsでUpdates アプリを使用している場合は、Updates アプリを使用して に関連するアクティビティを監査ログで検索できます。 Updatesアプリをサポートするように環境が構成されている場合は、これらのアクティビティの追加のアクティビティ グループを [アクティビティ ピッカー] の一覧で使用できます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 更新要求を作成する | CreateUpdateRequest | ユーザーが更新要求を正常に作成しました。 |
| 更新要求を編集する | EditUpdateRequest | ユーザーが要求編集ウィザードを開き、[ 保存] を選択して変更を確認して保存するか、更新要求を直接有効または無効にします。 |
| 更新プログラムを送信する | SubmitUpdate | ユーザーが更新プログラムを正常に送信しました。 |
| 1 つの更新プログラムの詳細を表示する | ViewUpdate | ユーザーが更新プログラムの詳細を表示します。 |
Microsoft To Do アクティビティ
次の表は、Microsoft 365 監査ログに記録される Microsoft To Do のアクティビティの一覧です。 Microsoft To Do の詳細については、「Microsoft To Do のサポート」を参照してください。
注:
Microsoft To Do アクティビティの監査イベントには、監査 (Premium) の権利を含む関連する Microsoft 365 ライセンスに加えて、有料のProject Plan 1 ライセンス (以上) が必要です。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| フォルダーの共有リンクを受け入れた | AcceptedSharingLinkOnFolder | フォルダーの共有リンクを受け入れた。 |
| 作成された添付ファイル | AttachmentCreated | タスクの添付ファイルが作成されました。 |
| 添付ファイルの更新 | AttachmentUpdated | 添付ファイルが更新されました。 |
| 添付ファイルが削除されました | AttachmentDeleted | 添付ファイルが削除されました。 |
| フォルダー共有リンク共有 | FolderSharingLinkShared | フォルダーの共有リンクを作成しました。 |
| リンクされたエンティティが削除されました | LinkedEntityDeleted | リンクされたエンティティが削除されました。 |
| リンクされたエンティティが更新されました | LinkedEntityUpdated | リンクされたエンティティが更新されました。 |
| 作成されたリンクされたエンティティ | LinkedEntityCreated | タスクのリンクされたエンティティが作成されました。 |
| 作成された SubTask | SubTaskCreated | サブタスクが作成されました。 |
| SubTask が削除されました | SubTaskDeleted | サブタスクが削除されました。 |
| SubTask が更新されました | SubTaskUpdated | サブタスクが更新されました。 |
| 作成されたタスク | TaskCreated | タスクが作成されました。 |
| タスクが削除されました | TaskDeleted | タスクが削除されました。 |
| タスク読み取り | TaskRead | タスクが読み取られました。 |
| 更新されたタスク | TaskUpdated | タスクが更新されました。 |
| TaskList が作成されました | TaskListCreated | タスク リストが作成されました。 |
| TaskList の読み取り | TaskListRead | タスク リストが読み取られました。 |
| TaskList が更新されました | TaskListUpdated | タスク リストが更新されました。 |
| 招待されたユーザー | UserInvited | フォルダーにユーザーを招待しました。 |
Microsoft Viva Insightsアクティビティ
Viva Insightsでは、グループがorganization全体でどのように共同作業するかについての分析情報が提供されます。 次の表は、Viva Insightsで管理者ロールまたはアナリスト ロールが割り当てられているユーザーによって実行されるアクティビティの一覧です。 アナリストの役割が割り当てられたユーザーは、すべてのサービス機能に完全なアクセス権を持ち、製品を使用して分析を行います。 管理者ロールが割り当てられたユーザーは、プライバシー設定とシステムの既定値を構成でき、Viva Insightsの組織データを準備、アップロード、検証できます。 詳細については、「Microsoft Viva Insightsの概要」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| OData リンクのアクセス | AccessedOdataLink | アナリストはクエリの OData リンクにアクセスしました。 |
| デリゲート アクセスを追加しました | AddDelegates | ユーザーは、organization分析情報または Copilot ダッシュボードのデリゲート アクセスを追加しました。 |
| クエリのキャンセル | CanceledQuery | アナリストはクエリの実行をキャンセルしました。 |
| 会議の除外の作成 | MeetingExclusionCreated | アナリストは会議の除外ルールを作成しました。 |
| 結果の削除 | DeletedResult | アナリストはクエリ結果を削除しました。 |
| レポートのダウンロード | DownloadedReport | アナリストはクエリ結果のファイルをダウンロードしました。 |
| クエリの実行 | ExecutedQuery | アナリストはクエリを実行しました。 |
| デリゲート アクセスを削除しました | RemoveDelegates | ユーザーがorganization分析情報または Copilot ダッシュボードのデリゲート アクセスを削除しました。 |
| データ アクセス設定の更新 | UpdatedDataAccessSetting | 管理者はデータ アクセス設定を更新しました。 |
| プライバシー設定の更新 | UpdatedPrivacySetting | 管理更新されたプライバシー設定 (最小グループ サイズなど)。 |
| 組織データのアップロード | UploadedOrgData | 管理者は組織データのファイルをアップロードしました。 |
| ユーザーが*にログインしました | UserLoggedIn | ユーザーが自分の Microsoft 365 ユーザー アカウントにサインインしました。 |
| ユーザーが*からログオフしました | UserLoggedOff | ユーザーが Microsoft 365 ユーザー アカウントからサインアウトしました。 |
| 参照の表示 | ViewedExplore | アナリストは、1 つまたは複数の参照ページ タブで視覚エフェクトを表示しました。 |
注:
*Microsoft Entraサインインおよびサインオフ アクティビティ イベントは、ユーザーがサインインするときに作成されます。 このアクティビティは、organizationでViva Insightsがオンになっていない場合でもログに記録されます。 ユーザー サインイン アクティビティの詳細については、「Microsoft Entra IDでのサインイン ログ」を参照してください。
個人的な分析情報のアクティビティ
次の表に、Microsoft 365 監査ログに記録される個人用分析情報のアクティビティを示します。 個人の分析情報の詳細については、「個人分析情報の管理 ガイド」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 更新された組織の MyAnalytics 設定 | UpdatedOrganizationMyAnalyticsSettings | 管理は、個人の分析情報のorganizationレベルの設定を更新します。 |
| 更新されたユーザーの MyAnalytics 設定 | UpdatedUserMyAnalyticsSettings | 管理は、個人分析情報のユーザー設定を更新します。 |
検疫アクティビティ
次の表に、監査ログで検索できる検疫アクティビティを示します。 検疫の詳細については、「メール メッセージの検疫」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 削除された検疫メッセージ | QuarantineDeleteMessage | 管理者またはユーザーが、有害と見なされたメール メッセージを削除しました。 |
| 検疫メッセージのリリース要求が拒否されました | QuarantineReleaseRequestDeny | 有害と見なされた電子メール メッセージに対するユーザーからのリリース要求に対する管理者拒否。 |
| エクスポートされた検疫メッセージ | QuarantineExport | 管理者またはユーザーが、有害と見なされるメール メッセージをエクスポートしました。 |
| プレビューされた検疫メッセージ | QuarantinePreview | 管理者またはユーザーが、有害と見なされるメール メッセージをプレビューしました。 |
| 解放された検疫メッセージ | QuarantineRelease | 管理者またはユーザーが、有害と見なされるメール メッセージを検疫からリリースしました。 |
| リリース要求検疫メッセージ | QuarantineReleaseRequest | ユーザーは、有害と見なされる電子メール メッセージのリリースを要求しました。 |
| 表示された検疫メッセージのヘッダー | QuarantineViewHeader | 管理者またはユーザーは、有害と見なされた電子メール メッセージをヘッダーに表示しました。 |
アクティビティを報告する
次の表に、Microsoft 365 監査ログに記録される使用状況レポートのアクティビティを示します。
| フレンドリ名 | 操作名 | 説明 |
|---|---|---|
| 使用状況レポートのプライバシー設定が更新されました | UpdateUsageReportsPrivacySetting | 管理者が使用状況レポートのプライバシー設定を更新しました。 |
アイテム保持ポリシーと保持ラベルのアクティビティ
次の表では、アイテム保持ポリシーと保持ラベルが作成、再構成、または削除された場合の構成アクティビティについて説明します。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 変更済みのアダプティブ スコープ メンバーシップ | ApplicableAdaptiveScopeChange | ユーザー、サイト、またはグループがアダプティブ スコープに追加または削除されました。 これらの変更は、スコープのクエリを実行した結果です。 変更はシステムで行われたため、報告されたユーザーはユーザー アカウントではなく GUID で表示されます。 |
| アイテム保持ポリシーの構成された設定 | NewRetentionComplianceRule | 管理者が新しいアイテム保持ポリシーの保持設定を構成しました。 保持設定には、アイテムを保持する期間、保持期間が終了した際のアイテムへの処理 (アイテムの削除、保持、またはアイテムの保持と削除など)が含まれます。 このアクティビティは、New-RetentionComplianceRule コマンドレットの実行にも対応します。 |
| 作成されたアダプティブ スコープ | NewAdaptiveScope | 管理者がアダプティブ スコープを作成しました。 |
| 作成された保持ラベル | NewComplianceTag | 管理者が新しい保持ラベルを作成しました。 |
| アイテム保持ポリシーが作成されました | NewRetentionCompliancePolicy | 管理者が新しいアイテム保持ポリシーを作成しました。 |
| 削除されたアダプティブ スコープ | RemoveAdaptiveScope | 管理者がアダプティブ スコープを削除しました。 |
| アイテム保持ポリシーから削除された設定 | RemoveRetentionComplianceRule |
管理者がアイテム保持ポリシーの構成設定を削除しました。 ほとんどの場合、このアクティビティは、管理者がアイテム保持ポリシーを削除した場合、または Remove-RetentionComplianceRule コマンドレット を実行した場合に記録されます。 |
| 削除された保持ラベル | RemovecomplianceTag | 管理者が保持ラベルを削除しました。 |
| 削除されたアイテム保持ポリシー | RemoveRetentionCompliancePolicy |
管理者がアイテム保持ポリシーを削除しました。 |
| 保持ラベルの規制レコード オプションを有効にする |
SetRestrictiveRetentionUI | 管理者が Set-RegulatoryComplianceUI コマンドレットを実行したため、管理者は保持ラベルの UI 構成オプションを選択して、コンテンツを規制レコードとしてマークできます。 |
| 電子メール アイテムを事前に保持する | ExchangeDataProactivelyPreserved | アダプティブ保護では、アイテムを Exchange に保持するために保持ラベルが自動的に適用されます。 |
| ファイルを事前に保持する | SharePointDataProactivelyPreserved | アダプティブ保護では、アイテムを SharePoint または OneDrive に保持するために保持ラベルが自動的に適用されます。 |
| 更新済みのアダプティブ スコープ | SetAdaptiveScope | 管理者が既存のアダプティブ スコープの説明またはクエリを変更しました。 |
| アイテム保持ポリシーの更新された設定 | SetRetentionComplianceRule | 管理者が既存のアイテム保持ポリシーの保持設定を変更しました。 保持設定には、アイテムを保持する期間、保持期間が終了した際のアイテムへの処理 (アイテムの削除、保持、またはアイテムの保持と削除など)が含まれます。 このアクティビティは、Set-RetentionComplianceRule コマンドレットの実行にも対応しています。 |
| 更新された保持ラベル | SetComplianceTag | 管理者が既存の保持ラベルを更新しました。 |
| 更新アイテム保持ポリシー | SetRetentionCompliancePolicy | 管理者が既存のアイテム保持ポリシーを更新しました。 このイベントをトリガーする更新には、アイテム保持ポリシーが適用されるコンテンツの場所の追加または除外が含まれます。 |
役割管理アクティビティ
次の表は、管理者がMicrosoft 365 管理センターまたは Azure 管理ポータルで管理者ロールを管理するときにログに記録されるロール管理アクティビティMicrosoft Entra一覧です。
注:
次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 役割にメンバーが追加されました | 役割にメンバーを追加しました。 | Microsoft 365 の管理者の役割にユーザーが追加されました。 |
| ディレクトリ ロールからのユーザーの削除 | 役割からメンバーを削除します。 | Microsoft 365 の管理者の役割からユーザーが削除されました。 |
| 会社の連絡先情報の設定 | 会社の連絡先情報を設定します。 | 組織の会社レベルの連絡先設定が更新されました。 これには、Microsoft 365 によって送信されるサブスクリプション関連のメールのメール アドレスと、サービスに関する技術的な通知が含まれます。 |
機密情報の種類のアクティビティ
次の表では、 機密情報の種類の作成と更新に関連するアクティビティの監査イベントについて説明します。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 新しく作成された機密情報の種類 | CreateRulePackage/ EditRulePackage* | 新しい機密情報の種類が 作成されました。 これには、 既定の SIT をコピーして作成されたすべての SID が含まれます。 注: このアクティビティは、監査アクティビティ '作成済みルール パッケージ' または '編集済みルール パッケージ' の下に表示されます。 |
| 機密情報の種類を編集しました | EditRulePackage | 既存の機密情報の種類が編集されました。 これには、パターンの追加/削除、機密情報の種類に関連付けられている正規表現/キーワード (keyword)の編集などの操作が含まれます。 手記: このアクティビティは、監査アクティビティ "編集済みルール パッケージ" の下に表示されます。 |
| 機密情報の種類を削除しました | EditRulePackage/ RemoveRulePackage | 既存の機密情報の種類が削除されました。 手記: このアクティビティは、監査アクティビティ "編集されたルール パッケージ" または "削除されたルール パッケージ" の下に表示されます。 |
機密ラベル アクティビティ
次の表に、Microsoft Purview によって管理されているサイトとアイテムで 秘密度ラベル を使用した結果のイベントを示します。 アイテムには、ドキュメント、電子メール、予定表イベントが含まれます。 自動ラベル付けポリシーの場合、アイテムにはファイルとスキーマ化されたデータ資産もMicrosoft Purview データ マップに含まれます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| サイトに適用された機密ラベル | SiteSensitivityLabelApplied | グループに接続されていない SharePoint サイトまたは Teams サイトに秘密度ラベルが適用されました。 |
| サイトから削除された機密ラベル | SiteSensitivityLabelRemoved | グループに接続されていない SharePoint サイトまたは Teams サイトから秘密度ラベルが削除されました。 |
| ファイルに適用された機密ラベル | FileSensitivityLabelApplied SensitivityLabelApplied |
Microsoft 365 アプリ、Office for the web、または自動ラベル付けポリシーを使用して、秘密度ラベルがアイテムに適用されました。 このアクティビティの操作は、ラベルの適用方法によって異なります。 - Office for the webまたは自動ラベル付けポリシー (FileSensitivityLabelApplied) - Microsoft 365 アプリ (SensitivityLabelApplied) |
| ファイルに適用された機密ラベルの変更 | FileSensitivityLabelChanged SensitivityLabelUpdated |
項目に別の秘密度ラベルが適用されました。 このアクティビティの操作は、ラベルの変更方法によって異なります。 - Office for the webまたは自動ラベル付けポリシー (FileSensitivityLabelChanged) - Microsoft 365 Apps (SensitivityLabelUpdated) |
| サイトで変更された機密ラベル | SiteSensitivityLabelChanged | グループに接続されていない SharePoint サイトまたは Teams サイトに、別の秘密度ラベルが適用されました。 |
| ファイルから削除された機密ラベル | FileSensitivityLabelRemoved SensitivityLabelRemoved |
Microsoft 365 アプリ、Office for the web、自動ラベル付けポリシー、または Unlock-SPOSensitivityLabelEncryptedFile コマンドレットを使用して、秘密度ラベルがアイテムから削除されました。 このアクティビティの操作は、ラベルが削除された方法によって異なります。 - Office for the webまたは自動ラベル付けポリシー (FileSensitivityLabelRemoved) - Microsoft 365 アプリ (SensitivityLabelRemoved) |
秘密度ラベルの追加の監査情報:
- Microsoft 365 グループに秘密度ラベルを使用し、そのためグループに接続されている Teams サイトを使用すると、ラベルはMicrosoft Entra IDのグループ管理で監査されます。 詳細については、「Microsoft Entra IDでのログの監査」を参照してください。
- Teams 会議出席依頼と Teams 会議オプションとチャットに秘密度ラベルを使用する場合は、「 Microsoft Teamsでイベントの監査ログを検索する」を参照してください。
- Power BI で秘密度ラベルを使用する場合は、「Power BI での秘密度ラベルのスキーマの監査」を参照してください。
- クラウド アプリのMicrosoft Defenderで秘密度ラベルを使用する場合は、「接続されたアプリの管理」とファイル ガバナンス アクションのラベル付け情報に関するページを参照してください。
- Microsoft Purview 情報保護 クライアントまたはスキャナー、または Microsoft Information Protection (MIP) SDK を使用して秘密度ラベルを適用する場合は、「Azure Information Protection監査ログ リファレンス」を参照してください。
SharePoint リスト アクティビティ
次の表では、ユーザーが SharePoint Online のリストとリストアイテムを操作する際に関連するアクティビティを説明します。 一部の SharePoint アクティビティの監査レコードは、ユーザーがアクションを開始したユーザーまたは管理者に代わってアクティビティを実行したapp@sharepointを示します。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| リストの作成 | ListCreated | ユーザーが SharePoint リストを作成しました。 |
| リスト列の作成 | ListColumnCreated | ユーザーが SharePoint リスト列を作成しました。 リスト列は、1 つまたは複数の SharePoint リストに関連付けられている列です。 |
| リスト コンテンツ タイプの作成 | ListContentTypeCreated | ユーザーがリスト コンテンツ タイプを作成しました。 リスト コンテンツ タイプは、1 つまたは複数の SharePoint リストに関連付けられているコンテンツ タイプです。 |
| リスト アイテムの作成 | ListItemCreated | ユーザーが既存の SharePoint リストにアイテムを作成しました。 |
| サイト列の作成 | SiteColumnCreated | ユーザーが SharePoint サイト列を作成しました。 サイト列とは、リストに関連付けられていない列のことです。 サイト列は、特定の Web のすべてのリストで使用できるメタデータ構造でもあります。 |
| サイト コンテンツ タイプの作成 | サイトの ContentType の作成 | ユーザーがサイト コンテンツ タイプを作成しました。 サイト コンテンツ タイプは、親サイトに関連付けられているコンテンツ タイプです。 |
| リストの削除 | ListDeleted | ユーザーが SharePoint リストを削除しました。 |
| リスト列の削除 | 削除されたリスト列 | ユーザーが SharePoint リスト列を削除しました。 |
| リスト コンテンツ タイプの削除 | ListContentTypeDeleted | ユーザーがリスト コンテンツ タイプを削除しました。 |
| リスト アイテムの削除 | 削除されたリスト アイテム | ユーザーが SharePoint リスト アイテムを削除しました。 |
| サイト列の削除 | SiteColumnDeleted | ユーザーが SharePoint サイト列を削除しました。 |
| サイト コンテンツ タイプの削除 | SiteContentTypeDeleted | ユーザーがサイト コンテンツ タイプを削除しました。 |
| リスト アイテムのリサイクル | ListItemRecycled | ユーザーが SharePoint リスト アイテムをごみ箱に移動しました。 |
| リストの復元 | ListRestored | ユーザーが SharePoint リストをごみ箱から復元しました。 |
| リスト アイテムの復元 | ListItemRestored | ユーザーが SharePoint リスト アイテムをごみ箱から復元しました。 |
| リストの更新 | ListUpdated | ユーザーが 1 つ以上のプロパティを変更して SharePoint リストを更新しました。 |
| リスト列の更新 | ListColumnUpdated | ユーザーが 1 つ以上のプロパティを変更して SharePoint リスト列を更新しました。 |
| リスト コンテンツ タイプの更新 | ListContentTypeUpdated | ユーザーが 1 つ以上のプロパティを変更してリスト コンテンツ タイプを更新しました。 |
| リスト アイテムの更新 | ListItemUpdated | ユーザーが 1 つ以上のプロパティを変更して SharePoint リスト アイテムを更新しました。 |
| 更新されたリスト ビュー | ListViewUpdated | ユーザーは、1 つ以上のプロパティを変更して SharePoint リスト ビューを更新しました。 |
| サイト列の更新 | SiteColumnUpdated | ユーザーが 1 つ以上のプロパティを変更して SharePoint サイト列を更新しました。 |
| サイト コンテンツ タイプの更新 | SiteContentTypeUpdated | ユーザーが 1 つ以上のプロパティを変更してサイト コンテンツ タイプを更新しました。 |
共有アクティビティとアクセス要求アクティビティ
次の表では、SharePoint Online および OneDrive for Business でのユーザー共有とアクセス要求アクティビティを説明します。 共有イベントの場合、[結果] の [詳細] 列で、アイテムを共有したユーザーまたはグループの名前と、そのユーザーまたはグループが組織のメンバーかゲストかが識別されます。 詳細については、「監査ログで共有監査を使用する」を参照してください。
注:
ユーザーは、ユーザー オブジェクトの UserType プロパティに基づいて メンバー または ゲスト にすることができます。 メンバーは通常従業員であり、ゲストは通常、organization外のコラボレーターです。 ユーザーが共有の招待を受け入れると (まだorganizationに含まれていない)、organizationのディレクトリにゲスト アカウントが作成されます。 ゲスト ユーザーがディレクトリにアカウントを持った後は、リソースを直接共有できます (招待は必要ありません)。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| サイト コレクションへのアクセス許可レベルの追加 | PermissionLevelAdded | サイト コレクションにアクセス許可レベルが追加されました。 |
| アクセス要求の承諾 | AccessRequestAccepted | サイト、フォルダー、またはドキュメントに対するアクセス要求が承諾されて、要求したユーザーがアクセスを許可されました。 |
| 共有への招待の承諾 | SharingInvitationAccepted | ユーザー (メンバーまたはゲスト) は共有の招待を受け入れ、リソースへのアクセスを許可されました。 このイベントには、招待されたユーザーと、招待を受け入れるために使用されたメール アドレスに関する情報が含まれます (異なる場合があります)。 このアクティビティには、多くの場合、リソースへのアクセス権がユーザーに付与された方法を説明する 2 つ目のイベントが伴います。たとえば、リソースへのアクセス権を持つグループにユーザーを追加するなどです。 |
| 共有の招待がブロックされました | SharingInvitationBlocked | ターゲット ユーザーのドメインに基づいて外部共有を許可または拒否する外部共有ポリシーが原因で、organizationのユーザーから送信された共有招待がブロックされます。 この場合、次の理由で共有の招待がブロックされました。 ターゲット ユーザーのドメインが、許可されたドメインの一覧に含まれていない。 または ターゲット ユーザーのドメインが、ブロックするドメインの一覧に含まれている。 ドメインに基づく外部共有の許可またはブロックの詳細については、「SharePoint Online and OneDrive for Business での制限付きドメイン共有」を参照してください。 |
| アクセス要求の作成 | AccessRequestCreated | アクセス許可がないサイト、フォルダー、またはドキュメントに対するアクセスをユーザーが要求しました。 |
| 会社の共有可能なリンクの作成 | CompanyLinkCreated | ユーザーは、リソースへの会社全体のリンクを作成しました。 会社全体のリンクは、organizationのメンバーのみが使用できます。 ゲストは使用できません。 |
| 匿名リンクの作成 | AnonymousLinkCreated | ユーザーがリソースへの匿名リンクを作成しました。 このリンクを持つすべてのユーザーは、認証を受けなくてもリソースにアクセスできます。 |
| セキュリティで保護されたリンクの作成 | SecureLinkCreated | セキュリティで保護された、このアイテムへの共有リンクが作成されました。 |
| 共有への招待の作成 | SharingInvitationCreated | ユーザーが、組織のディレクトリ内に含まれていないユーザーと SharePoint Online または OneDrive for Business のリソースを共有しました。 |
| セキュリティで保護されたリンクの削除 | SecureLinkDeleted | セキュリティで保護されたリンクが削除されました。 |
| アクセス要求の拒否 | AccessRequestDenied | サイト、フォルダー、またはドキュメントに対するアクセスが拒否されました。 |
| 会社の共有可能なリンクが削除されました | CompanyLinkRemoved | ユーザーは、リソースへの会社全体のリンクを削除しました。 リンクを使用してリソースにアクセスできなくなります。 |
| 匿名リンクの削除 | AnonymousLinkRemoved | ユーザーがリソースへの匿名リンクを削除しました。 リンクを使用してリソースにアクセスできなくなります。 |
| ファイル、フォルダー、サイトが共有されました | SharingSet | ユーザー (メンバーまたはゲスト) が、組織のディレクトリ内のユーザーと SharePoint または OneDrive for Business のファイル、フォルダー、またはサイトを共有しました。 このアクティビティの [詳細] 列の値で、リソースを共有したユーザー名と、そのユーザーがメンバーかゲストかが識別されます。 多くの場合、このアクティビティには、リソースに対してどのようなアクセス権がユーザーに付与されたか、という 2 つ目のイベントが伴います。 たとえば、リソースへのアクセス権を持つグループへのユーザーの追加などです。 |
| アクセス要求の更新 | AccessRequestUpdated | アイテムに対するアクセス要求が更新されました。 |
| 匿名リンクの更新 | AnonymousLinkUpdated | ユーザーがリソースへの匿名リンクを更新しました。 更新されたフィールドは、検索結果をエクスポートするときに EventData プロパティに含まれます。 |
| 共有への招待の更新 | SharingInvitationUpdated | 外部共有への招待が更新されました。 |
| 匿名リンクの使用 | AnonymousLinkUsed | 匿名ユーザーは、匿名リンクを使用してリソースにアクセスしました。 ユーザーの ID が不明である可能性がありますが、ユーザーの IP アドレスなど、他の詳細を取得できます。 |
| ファイル、フォルダー、またはサイトの共有解除 | SharingRevoked | ユーザー (メンバーまたはゲスト) が、以前別のユーザーと共有していたファイル、フォルダー、またはサイトの共有を解除しました。 |
| 会社の共有可能なリンクの使用 | CompanyLinkUsed | ユーザーが全社的なリンクを使用してリソースにアクセスしました。 |
| セキュリティで保護されたリンクの使用 | SecureLinkUsed | ユーザーが、セキュリティで保護されたリンクを使用しました。 |
| セキュリティで保護されたリンクへのユーザーの追加 | AddedToSecureLink | ユーザーが、セキュリティで保護された共有リンクを使用できるエンティティの一覧に追加されました。 |
| セキュリティで保護されたリンクからのユーザーの削除 | RemovedFromSecureLink | ユーザーが、セキュリティで保護された共有リンクを使用できるエンティティの一覧から削除されました。 |
| 共有への招待の取り消し | SharingInvitationRevoked | ユーザーが、リソースの共有への招待を取り消しました。 |
サイト管理アクティビティ
次の表では、SharePoint Online 内のサイト管理タスクによって発生するイベントを一覧表示します。 前に説明したように、一部の SharePoint アクティビティの監査レコードは、ユーザーがアクションを開始したユーザーまたは管理者に代わってアクティビティを実行したapp@sharepointを示します。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 許可されるデータの場所の追加 | AllowedDataLocationAdded | SharePoint 管理者またはグローバル管理者が、複数地域環境で許可されるデータの場所を追加しました。 |
| 適用除外ユーザー エージェントの追加 | ExemptUserAgentSet | SharePoint 管理者またはグローバル管理者が、SharePoint 管理センターで適用除外ユーザー エージェントの一覧にユーザー エージェントを追加しました。 |
| 地理的位置の管理者の追加 | GeoAdminAdded | SharePoint 管理者またはグローバル管理者が、地理的位置の管理者としてユーザーを追加しました。 |
| ユーザーに対するグループ作成の許可 | AllowGroupCreationSet | サイトの管理者または所有者がアクセス許可レベルをサイトに追加しました。そのアクセス許可が割り当てられているユーザーは、そのサイトのグループを作成することが許可されます。 |
| サイトの地域の移動の取り消し | SiteGeoMoveCancelled | SharePoint またはグローバル管理者が SharePoint または OneDrive サイトの地域の移動を正常にキャンセルしました。 複数地域機能を使用すると、組織が複数の Microsoft データセンターの場所にまたがることができます。これは「地域」と呼ばれます。 詳細については、「OneDrive および SharePoint Online の複数地域機能」を参照してください。 |
| 共有ポリシーの変更 | SharingPolicyChanged | SharePoint またはグローバル管理者が、Microsoft 365 管理センター、SharePoint 管理センター、または SharePoint Online 管理シェルを使用して SharePoint 共有ポリシーを変更しました。 組織の共有ポリシーの設定が変更されると、ログに記録されます。 変更されたポリシーは、イベント レコードの詳細なプロパティの ModifiedProperties フィールドで識別されます。 |
| デバイス アクセス ポリシーの変更 | DeviceAccessPolicyChanged | SharePoint またはグローバル管理者が、組織の非管理対象デバイス ポリシーを変更しました。 このポリシーは、組織に参加していないデバイスからの SharePoint、OneDrive、および Microsoft 365 へのアクセスを制御します。 このポリシーを構成するには、Enterprise Mobility + Security サブスクリプションが必要です。 詳細については、「非管理対象デバイスからのアクセスを制御する」を参照してください。 |
| 適用除外ユーザー エージェントの変更 | CustomizeExemptUsers | SharePoint またはグローバル管理者は、SharePoint 管理センターで除外ユーザー エージェントの一覧をカスタマイズしました。 インデックスを作成する Web ページ全体の受信の対象外とするユーザー エージェントを指定できます。 つまり、除外として指定したユーザー エージェントが InfoPath フォームを検出すると、フォームは Web ページ全体ではなく XML ファイルとして返されます。 これにより、InfoPath フォームのインデックス作成の時間が短縮されます。 |
| ネットワーク アクセス ポリシーの変更 | NetworkAccessPolicyChanged | SharePoint またはグローバル管理者は、SharePoint 管理センターまたは SharePoint Online PowerShell を使用して、場所ベースのアクセス ポリシー (信頼されたネットワーク境界とも呼ばれます) を変更しました。 この種類のポリシーは、指定した承認された IP アドレス範囲に基づいて、organization内の SharePoint および OneDrive リソースにアクセスできるユーザーを制御します。 詳細については、「 ネットワークの場所に基づいて SharePoint Online と OneDrive データへのアクセスを制御する」を参照してください。 |
| 完了した移行ジョブ | MigrationJobCompleted | 移行ジョブが正常に完了しました。 |
| サイトの地域の移動の完了 | SiteGeoMoveCompleted | 組織のグローバル管理者がスケジュールしたサイトの地域の移動が正常に完了しました。 複数地域機能を使用すると、組織が複数の Microsoft データセンターの場所にまたがることができます。これは「地域」と呼ばれます。 詳細については、「OneDrive および SharePoint Online の複数地域機能」を参照してください。 |
| 送信接続の作成 | SendToConnectionAdded | SharePoint またはグローバル管理者は、SharePoint 管理センターのレコード管理ページに新しい Send To 接続を作成します。 送信先接続では、ドキュメントのリポジトリまたはレコード センターの設定を指定します。 送信先接続を作成する際、コンテンツ オーガナイザーはドキュメントを指定した場所に送信できます。 |
| サイト コレクションの作成 | SiteCollectionCreated | SharePoint 管理者または全体管理者が、SharePoint Online 組織でサイト コレクションを作成したか、ユーザーが OneDrive for Business サイトをプロビジョニングしました。 |
| 孤立したハブ サイトの削除 | HubSiteOrphanHubDeleted | SharePoint 管理者またはグローバル管理者が、孤立したハブサイトを削除しました。これは、それに関連付けられているサイトがないハブサイトです。 孤立したハブは、元のハブサイトの削除が原因である可能性が大きいです。 |
| 送信接続の削除 | SendToConnectionRemoved | SharePoint 管理者または全体管理者が、SharePoint 管理センターの [レコード管理] ページで、送信接続を削除しました。 |
| サイトの削除 | SiteDeleted | サイト管理者がサイトを削除しました。 |
| ドキュメント プレビューの有効化 | PreviewModeEnabledSet | サイト管理者がサイトのドキュメントのプレビューを有効にしました。 |
| レガシー ワークフローの有効化 | LegacyWorkflowEnabledSet | サイト管理者または所有者が、SharePoint 2013 ワークフロー タスク コンテンツの種類をサイトに追加します。 グローバル管理者は、SharePoint 管理センターの組織全体のワーク フローを有効にすることもできます。 |
| オンデマンドでの Office の有効化 | OfficeOnDemandSet | サイト管理者は、Office オンデマンドを有効にします。これによりユーザーは、Office デスクトップ アプリケーションの最新バージョンにアクセスできます。 Office オンデマンドは SharePoint 管理センターで有効にされ、インストール済みのすべての Office アプリケーションを含む Microsoft 365 サブスクリプションを必要とします。 |
| 人の検索の検索先の有効化 | PeopleResultsScopeSet | サイト管理者が、サイトの人の検索の検索先を作成しました。 |
| RSS フィードの有効化 | NewsFeedEnabledSet | サイト管理者または所有者は、サイトの RSS フィードを有効にします。 グローバル管理者は、SharePoint 管理センターで組織全体の RSS フィードを有効にできます。 |
| サイトのハブサイトへの結合 | HubSiteJoined | サイト所有者が、サイトをハブサイトに関連付けました。 |
| サイト コレクション クォータの変更 | SiteCollectionQuotaModified | サイト管理者は、サイト コレクションのクォータを変更します。 |
| ハブサイトの登録 | HubSiteRegistered | SharePoint またはグローバル管理者がハブ サイトを作成しました。 その結果、サイトがハブ サイトとして登録されます。 |
| 許可されるデータの場所の削除 | AllowedDataLocationDeleted | SharePoint 管理者またはグローバル管理者が、複数地域環境で許可されるデータの場所を削除しました。 |
| 地理的位置の管理者の削除 | GeoAdminDeleted | SharePoint 管理者またはグローバル管理者が、ユーザーの地理的位置の管理者の役割を削除しました。 |
| サイトの名前変更 | SiteRenamed | サイトの管理者または所有者がサイトの名前を変更しました |
| サイトの地域の移動のスケジュール設定 | SiteGeoMoveScheduled | SharePoint またはグローバル管理者が SharePoint または OneDrive サイトの地域の移動を正常にスケジュール設定しました。 複数地域機能を使用すると、組織が複数の Microsoft データセンターの場所にまたがることができます。これは「地域」と呼ばれます。 詳細については、「OneDrive および SharePoint Online の複数地域機能」を参照してください。 |
| ホスト サイトの設定 | HostSiteSet | SharePoint 管理者または全体管理者が、個人用サイトまたは OneDrive for Business サイトをホストするために指定されたサイトを変更しました。 |
| 地理的位置のストレージ クォータの構成 | GeoQuotaAllocated | SharePoint 管理者またはグローバル管理者が、複数地域環境での地理的位置のストレージ クォータを構成しました。 |
| サイトのハブサイトへの結合解除 | HubSiteUnjoined | サイト所有者が、ハブサイトへのサイトの関連付けを解除しました。 |
| ハブサイトの登録解除 | HubSiteUnregistered | SharePoint またはグローバル管理者が、ハブサイトとしてのサイトの登録を解除しました。 ハブサイトが解除されると、そのサイトはハブサイトとして機能しなくなります。 |
サイトの権限のアクティビティ
次の表では、SharePoint でのアクセス許可の割り当てとグループの使用によるサイトへのアクセス権の付与に関連するイベントを一覧表示します。 前に説明したように、一部の SharePoint アクティビティの監査レコードは、ユーザーがアクションを開始したユーザーまたは管理者に代わってアクティビティを実行したapp@sharepointを示します。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| サイト コレクション管理者の追加 | SiteCollectionAdminAdded | サイト コレクション管理者または所有者が、サイトのサイト コレクション管理者としてユーザーを追加します。 サイト コレクション管理者には、サイト コレクションとすべてのサブサイトのフル コントロール権限があります。 このアクティビティは、SharePoint 管理センターでユーザー プロファイルを編集するか Microsoft 365 管理センターを使用することにより、管理者がユーザーの OneDrive アカウントへのアクセス権限を自分自身に付与する際にも記録されます。 |
| SharePoint グループへのユーザーまたはグループの追加 | AddedToGroup | ユーザーが SharePoint グループにメンバーまたはゲストを追加しました。 これは意図的なアクションか、共有イベントなどの別のアクティビティの結果である可能性があります。 |
| アクセス許可レベルの継承の停止 | PermissionLevelsInheritanceBroken | アイテムが変更されたので、アクセス許可レベルが親から継承されなくなりました。 |
| 共有の継承の停止 | SharingInheritanceBroken | アイテムが変更されたので、共有アクセス許可が親から継承されなくなりました。 |
| グループの作成 | GroupAdded | サイト管理者または所有者は、サイトのグループを作成するか、グループが作成されるタスクを実行します。 たとえば、ユーザーがファイルを共有するためのリンクを初めて作成すると、システム グループがユーザーの OneDrive for Business に追加されます。 このイベントは、ユーザーが共有ファイルに対して編集のアクセス許可を持つリンクを作成する結果として発生することもあります。 |
| グループの削除 | GroupRemoved | ユーザーがサイトからグループを削除しました。 |
| アクセス要求の設定の変更 | WebRequestAccessModified | サイトでアクセス要求の設定が変更されました。 |
| [メンバーが共有可能] 設定の変更 | WebMembersCanShareModified | サイトで [メンバーが共有可能] 設定が変更されました。 |
| サイト コレクションのアクセス許可レベルの変更 | PermissionLevelModified | サイト コレクションでアクセス許可レベルが変更されました。 |
| サイト アクセス許可の変更 | SitePermissionsModified | サイト管理者または所有者 (またはシステム アカウント) がサイトのグループに割り当てられたアクセス許可レベルを変更しました。 すべてのアクセス許可がグループから削除された場合も、このアクティビティが記録されます。 注: この操作は、SharePoint Online で廃止されました。 関連するイベントを見つけるには、サイト コレクション管理者の追加、SharePoint グループへのユーザーまたはグループの追加、ユーザーに対するグループ作成の許可、グループの作成、グループの削除などのその他のアクセス許可関連のアイテムを検索することができます。 |
| サイト コレクションからのアクセス許可レベルの削除 | PermissionLevelRemoved | サイト コレクションからアクセス許可レベルが削除されました。 |
| サイト コレクション管理者の削除 | SiteCollectionAdminRemoved | サイト コレクション管理者または所有者が、サイトのサイト コレクション管理者としてユーザーを削除します。 このアクティビティは、(SharePoint 管理センターでユーザー プロファイルを編集することにより) 管理者がユーザーの OneDrive アカウントのサイト コレクション管理者のリストから自分自身を削除する際にも記録されます。 監査ログの検索結果にこのアクティビティを返すには、すべてのアクティビティを検索する必要があります。 |
| SharePoint グループからのユーザーまたはグループの削除 | RemovedFromGroup | ユーザーが SharePoint グループからメンバーまたはゲストを削除しました。 これは意図的なアクションか、非共有イベントなどの別のアクティビティの結果である可能性があります。 |
| サイト管理者アクセス許可の要求 | SiteAdminChangeRequest | ユーザーは、サイト コレクションのサイト コレクション管理者として追加するように要求します。 サイト コレクション管理者には、サイト コレクションとすべてのサブサイトのフル コントロール権限があります。 |
| 共有の継承の復元 | SharingInheritanceReset | 変更が加えられたので、共有アクセス許可が親から継承されなくなりました。 |
| グループの更新 | GroupUpdated | サイト管理者または所有者は、サイトのグループの設定を変更します。 これには、グループ名の変更、グループのメンバーシップを表示または変更できるユーザーの変更、およびメンバーシップ要求の処理方法の変更があります。 |
同期アクティビティ
次の表では、SharePoint Online および OneDrive for Business 内のファイル同期アクティビティを一覧表示します。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| コンピューターによってファイルの同期が許可されました | ManagedSyncClientAllowed | ユーザーがサイトとの同期関係を正常に確立しました。 ユーザーのコンピューターが、組織内のドキュメント ライブラリにアクセスできるドメインのリスト (宛先セーフ リストと呼ばれる) に追加されているドメインのメンバーであるため、同期関係は成功しました。 この機能の詳細については、「Windows PowerShell コマンドレットを使用して宛先セーフ リスト上のドメインに対して OneDrive 同期を有効にする」 を参照してください。 |
| コンピューターに対するファイル同期のブロック | UnmanagedSyncClientBlocked | ユーザーは、organizationのドメインのメンバーではないコンピューター、またはorganization内のドキュメント ライブラリにアクセスできるドメインの一覧 (安全な受信者リストと呼ばれる) に追加されていないドメインのメンバーであるコンピューターから、サイトとの同期関係を確立しようとします。 同期関係は許可されておらず、ユーザーのコンピューターはドキュメント ライブラリ上のファイルの同期、ダウンロード、またはアップロードをブロックされます。 この機能については、「Windows PowerShell コマンドレットを使用して宛先セーフ リスト上のドメインに対して OneDrive 同期を有効にする」 を参照してください。 |
| コンピューターへのファイルのダウンロード | FileSyncDownloadedFull | ユーザーは、OneDrive 同期アプリ (OneDrive.exe) を使用して、SharePoint ドキュメント ライブラリまたは OneDrive for Business からコンピューターにファイルをダウンロードします。 |
| コンピューターへのファイル変更のダウンロード | FileSyncDownloadedPartial | このイベントは、古い OneDrive for Business 同期アプリ (Groove.exe) とともに非推奨になりました。 |
| ファイルがドキュメント ライブラリにアップロードされました | FileSyncUploadedFull | ユーザーは、OneDrive 同期アプリ (OneDrive.exe) を使用して、SharePoint ドキュメント ライブラリまたは OneDrive for Business に新しいファイルまたはファイルへの変更をアップロードします。 |
| ドキュメント ライブラリへのファイル変更のアップロード | FileSyncUploadedPartial | このイベントは、古い OneDrive for Business 同期アプリ (Groove.exe) とともに非推奨になりました。 |
SystemSync アクティビティ
次の表に、Microsoft 365 監査ログに記録される SystemSync のアクティビティを示します。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成済の Data Share | DataShareCreated | データ エクスポートがユーザーによって作成された場合。 |
| 削除済みの Data Share | DataShareDeleted | データ エクスポートがユーザーによって削除された場合。 |
| Lake Data のコピーを生成する | GenerateCopyOfLakeData | Lake Data のコピーが生成された場合。 |
| Lake Data のコピーをダウンロードする | DownloadCopyOfLakeData | Lake Data のコピーがダウンロードされた場合。 |
ユーザー管理アクティビティ
次の表では、管理者が Microsoft 365 管理センターまたは Azure 管理ポータルを使用してユーザー アカウントを追加または変更したときに記録されるユーザー管理アクティビティを一覧表示します。
注:
次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。
| アクティビティ | 操作 | 説明 |
|---|---|---|
| ユーザーが追加されました | ユーザーを追加します。 | ユーザー アカウントが作成されました。 |
| ユーザー ライセンスの変更 | ユーザー ライセンスを変更します。 | 変更されたユーザーに割り当てられたライセンス。 変更されたライセンスを確認するには、対応する更新された ユーザー アクティビティを参照してください。 |
| ユーザー パスワードが変更されました | ユーザー パスワードを変更します。 | ユーザーがパスワードを変更します。 ユーザーがパスワードをリセットするには、組織内のすべてのユーザーまたは選択したユーザーに対して、セルフサービスパスワードリセットを有効にする必要があります。 Microsoft Entra IDでセルフサービス パスワード リセット アクティビティを追跡することもできます。 詳細については、「Microsoft Entra パスワード管理のレポート オプション」を参照してください。 |
| ユーザーの削除 | ユーザーを削除します。 | ユーザー アカウントが削除されました。 |
| Reset user password | ユーザー パスワードを再設定します。 | 管理者がユーザーのパスワードを再設定します。 |
| ユーザーへパスワードの変更を強制するプロパティの設定 | ユーザー パスワードの強制変更を設定します。 | 管理者が、ユーザーが次に Microsoft 365 にサインインしたときにパスワードを強制的に変更させるプロパティを設定しました。 |
| Set license properties | ライセンス プロパティを設定する | 管理者が、ユーザーに割り当てられたライセンスのプロパティを変更しました。 |
| ユーザーの更新 | ユーザーを更新します。 | 管理者は、ユーザー アカウントの 1 つ以上のプロパティを変更します。 更新できるユーザー プロパティの一覧については、「レポート イベントの監査」の「ユーザー属性の更新」セクションMicrosoft Entra参照してください。 |
Viva Goalsアクティビティ
次の表に、監査のためにログに記録されるViva Goalsのユーザーアクティビティと管理者アクティビティを示します。 テーブルには、[アクティビティ] 列に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。
Microsoft Purview ポータルとコンプライアンス ポータルから監査ログを検索する方法について、監査ログの詳細を検索します。 ユーザーは、グローバル管理者であるか、監査ログにアクセスするための監査読み取りアクセス許可を持っている必要があります。 [アクティビティ] フィルターを使用すると、特定のアクティビティを検索したり、[レコードの種類] フィルターで [VivaGoals] を選択できるすべてのViva Goalsアクティビティを一覧表示したりできます。 日付範囲ボックスと [ユーザー] リストを使用して、検索結果をさらに絞り込むこともできます。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成された組織 | 作成された組織 | 管理またはユーザーがViva Goalsに新しいorganizationを作成しました。 |
| ユーザーの追加 | ユーザーの追加 | Viva Goalsのorganizationに新しいユーザーが追加されました。 |
| 非アクティブ化されたユーザー | 非アクティブ化されたユーザー | ユーザーがorganizationで非アクティブ化されました。 |
| ユーザーが削除されました | ユーザーが削除されました | ユーザーがViva Goalsのorganizationから削除されました。 |
| ユーザーがにログインしました | ユーザーがにログインしました | ユーザーがViva Goalsにログインしました。 |
| チームが追加されました | チームが追加されました | Viva Goalsのorganization内に新しいチームが作成されました。 |
| チームが更新されました | チームが更新されました | Viva Goalsのorganization内のチームが変更または更新されました。 |
| チームが削除されました | チームが削除されました | Viva Goalsのorganization内のチームがユーザーによって削除されました。 |
| エクスポートされたデータ | エクスポートされたデータ | ユーザーが、Viva Goalsのorganizationで OKR の一覧またはユーザーの一覧をエクスポートしました。 |
| Goals ポリシーが更新されました | Goals ポリシーが更新されました | グローバル管理者は、Viva Goalsのテナント レベルでポリシーまたは設定を変更しました。 たとえば、グローバル管理者は、Viva Goalsで組織を作成できるユーザーを構成しています。 |
| 組織の設定が更新されました | 組織の設定が更新されました | ユーザー (通常は組織の所有者または管理者) が、Viva Goalsの特定organization設定を更新しました。 |
| 組織の統合が更新されました | 組織の統合が更新されました | ユーザー (通常は組織の所有者または管理者) は、サード パーティ統合を構成しているか、Viva Goals上のorganizationの既存のサード パーティ統合を更新しました。 |
| OKR またはプロジェクトが作成されました | OKR またはプロジェクトが作成されました | ユーザーは、Viva Goalsで OKR またはプロジェクトを作成しました。 |
| OKR またはプロジェクトが更新されました | OKR またはプロジェクトが更新されました | OKR/Project が変更されたか、ユーザーまたはViva Goalsの統合によってチェックが行われました。 |
| OKR またはプロジェクトが削除されました | OKR またはプロジェクトが削除されました | ユーザーが OKR またはプロジェクトを削除しました。 |
| 作成されたダッシュボード | 作成されたダッシュボード | ユーザーがViva Goalsに新しいダッシュボードを作成しました |
| ダッシュボードが更新されました | ダッシュボードが更新されました | ユーザーがViva Goalsのダッシュボードを更新しました |
| ダッシュボードが削除されました | ダッシュボードが削除されました | ユーザーがViva Goalsのダッシュボードを削除しました。 |
Viva Engageアクティビティ
次の表に、監査ログに記録されるViva Engageのユーザーアクティビティと管理者アクティビティを示します。 監査ログからViva Engage関連するアクティビティを返すには、[アクティビティ] 一覧のすべてのアクティビティの結果を表示するを選択する必要があります。 日付範囲のボックスと [ユーザー] リストを使用して、検索結果を絞り込みます。
注:
一部のViva Engage監査アクティビティは、監査 (Premium) でのみ使用できます。 つまり、これらのアクティビティが監査ログに記録される前に、ユーザーに適切なライセンスを割り当てる必要があります。 詳細については 監査 (プレミアム) を参照してください。 監査 (プレミアム) のライセンス要件については、「Microsoft 365 での監査ソリューション」を参照してください。
次の表では、監査 (プレミアム) アクティビティがアスタリスク (*) で強調表示されています。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| データの保持ポリシーが変更されました | SoftDeleteSettingsUpdated | 確認済みの管理者は、ネットワーク データ保持ポリシーの設定を [ハード削除] または [論理的な削除] に更新します。 この操作を実行できるのは、確認済みの管理者のみです。 |
| ネットワークの構成の変更 | NetworkConfigurationUpdated | ネットワークまたは検証済みの管理者は、Viva Engage ネットワークの構成を変更します。 これには、データのエクスポート間隔の設定とチャットの有効化が含まれます。 |
| ネットワーク プロファイル設定の変更 | ProcessProfileFields | ネットワーク管理者または認証管理者が、ネットワーク ユーザーのネットワークのメンバー プロファイルに表示される情報を変更しました。 |
| プライベート コンテンツ モードの変更 | SupervisorAdminToggled | 確認済みの管理者は 、プライベート コンテンツ モード のオンとオフを切り替えます。 管理者は、このモードを使用して、プライベート グループの投稿や、各ユーザー (またはユーザーのグループ) 間のプライベート メッセージを閲覧できます。 この操作を実行できるのは、認証管理者のみです。 |
| セキュリティの構成が変更されました | NetworkSecurityConfigurationUpdated | 検証された管理者は、Viva Engage ネットワークのセキュリティ構成を更新します。 これには、パスワードの有効期限ポリシーの設定と IP アドレスに対する制限が含まれます。 この操作を実行できるのは、確認済みの管理者のみです。 |
| ファイルの作成 | FileCreated | ユーザーがファイルをアップロードしました。 |
| グループの作成 | GroupCreation | ユーザーがグループを作成しました。 |
| メッセージの作成 | MessageCreation | ユーザーがメッセージを作成しました。 |
| グループの削除 | GroupDeletion | グループがViva Engageから削除されます。 |
| メッセージの削除 | MessageDeleted | ユーザーがメッセージを削除しました。 |
| ファイルのダウンロード | FileDownloaded | ユーザーがファイルをダウンロードしました。 |
| データのエクスポート | DataExport | 検証された管理者は、ネットワーク データViva Engageエクスポートします。 この操作を実行できるのは、確認済みの管理者のみです。 |
| コミュニティへのアクセスに失敗しました | CommunityAccessFailure | ユーザーはコミュニティへのアクセスに失敗しました。 |
| ファイルへのアクセスに失敗しました | FileAccessFailure | ユーザーはファイルへのアクセスに失敗しました。 |
| メッセージへのアクセスに失敗しました | MessageAccessFailure | ユーザーはメッセージへのアクセスに失敗しました。 |
| メッセージに反応しました | MarkedMessageChanged | ユーザーがメッセージに反応しました。 |
| キュレーションされたトピックを削除する* | RemoveCuratedTopic | ユーザーは、キュレーションされたトピックを削除します。 |
| ファイルの共有 | FileShared | ユーザーが別のユーザーとファイルを共有しました。 |
| ネットワーク ユーザーの一時停止 | NetworkUserSuspended | ネットワーク管理者または検証済み管理者は、ユーザーをViva Engageから一時停止 (非アクティブ化) します。 |
| ユーザーの一時停止 | UserSuspension | ユーザー アカウントが一時停止 (非アクティブ化) されました。 |
| ファイルの説明の更新 | FileUpdateDescription | ユーザーがファイルの説明を変更しました。 |
| ファイル名の更新 | FileUpdateName | ユーザーがファイルの名前を変更しました。 |
| メッセージの更新 | MessageUpdated | ユーザーがメッセージを更新しました。 |
| ファイルの表示 | FileVisited | ユーザーがファイルを表示しました。 |
| メッセージの表示 | MessageViewed | ユーザーがメッセージを表示しました。 |
Vivaパルスアクティビティ
次の表に、監査のためにログに記録されるViva Pulse のユーザーアクティビティと管理者アクティビティを示します。 テーブルには、[アクティビティ] 列に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。
Microsoft Purview ポータルとコンプライアンス ポータルから監査ログを検索する方法について、監査ログの詳細を検索します。 ユーザーは、グローバル管理者であるか、監査ログにアクセスするための監査読み取りアクセス許可を持っている必要があります。 [アクティビティ] フィルターを使用すると、特定のアクティビティを検索したり、[レコードの種類] フィルターで [VivaPulse] を選択できるすべてのVivaパルス アクティビティを一覧表示したりできます。 日付範囲ボックスと [ユーザー] リストを使用して、検索結果をさらに絞り込むこともできます。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| ユーザーがパルス調査に対して送信した応答 | PulseSubmit | 管理またはユーザーは、Viva Pulse フィードバック要求に関するフィードバックを提供しました。 |
| ユーザーが Pulse アンケートを作成しました | PulseCreate | 新しいVivaパルス フィードバック要求が作成されます。 |
| ユーザーがパルス調査の期限を延長しました | PulseExtendDeadline | 既存の Viva Pulse フィードバック要求の期限が延長されました。 |
| ユーザーが追加のユーザーを Pulse アンケートに招待しました | PulseInvite | 追加のユーザーが、既存の Viva Pulse フィードバック要求に招待されました。 |
| ユーザーが Pulse アンケートをキャンセルしました | PulseCancel | ユーザーが Pulse アンケートをキャンセルしました。 |
| ユーザーがパルス レポートを共有しました | PulseShareResults | Vivaパルス フィードバックの結果がユーザーと共有されました。 |
| ユーザーがパルス ドラフトを作成しました | PulseCreateDraft | ユーザーがパルスドラフトを作成しました。 |
| ユーザーがパルスドラフトを削除しました | PulseDeleteDraft | ユーザーはパルスドラフトを削除しました。 |
| ユーザーのデータを削除管理 | PulseDeleteUserData | 管理ユーザーのデータを削除しました。 |
| 更新されたテナントの設定を管理する | PulseTenantSettingsUpdate | 管理パルスのorganization設定Viva更新されました。 |
カスタマー ロックボックス アクティビティのWindows 365
次の表に、監査ログに記録される Customer Lockbox Windows 365ユーザーアクティビティと管理者アクティビティを示します。 監査ログから顧客ロックボックス関連のアクティビティWindows 365返すには、[レコードの種類] で [Windows365CustomerLockbox] を選択します。 日付範囲のボックスと [ユーザー] リストを使用して、検索結果を絞り込みます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| デバイスの修復をトリガーする | デバイスの修復をトリガーする | デバイスの修復をトリガーします。 |
| フォルダーを BLOB にアップロードする | フォルダーを BLOB にアップロードする | 顧客のデバイスのフォルダーを圧縮して BLOB にアップロードします。 |
| PowerShell 実行ポリシーを確認する | PowerShell 実行ポリシーを確認する | PowerShell 実行ポリシーを確認します。 |
| RD エージェントをインストールする | RD エージェントをインストールする | ユーザーのデバイスに RD エージェントをインストールします。 |
| ハイブリッド AADJ 拡張機能を実行する | ハイブリッド AADJ 拡張機能を実行する | ユーザーのデバイスでハイブリッド AADJ 拡張機能を実行します。 |
| VmExtension 要求を作成する | VmExtention 要求を作成する | VM 拡張機能を実行して顧客デバイスでカスタム スクリプトを実行する VM 拡張機能要求を作成します。 |
| トリガー オーケストレーター | トリガー オーケストレーター | ユーザーのオーケストレーターをトリガーします。 |
| SaaF による汎用アクションのトリガー | SaaF による汎用アクションのトリガー | ユーザーのデバイス アクション (リターゲット、EnableRdpAccessForCitrix、DisableRdpAccessFprCitrix) をトリガーします。 |
| 汎用アクションをトリガーする | 汎用アクションをトリガーする | ユーザーのデバイス アクションをトリガーします。 |
| オプションを使用して汎用アクションをトリガーする | オプションを使用して汎用アクションをトリガーする | 一般的なアクションをトリガーするよりも強力なオプション パラメーターを使用してデバイス アクションをトリガーします。 |
| 新しい作業項目を作成する (Scheduler) | 新しい作業項目を作成する (Scheduler) | 新しい作業項目 (プロビジョニング、プロビジョニング解除、再プロビジョニングなど) を作成します。 |
| リモート アクション操作の後 | リモート アクション操作の後 | リモート アクションを投稿し、GetActions 操作で結果をポーリングします。 |
| OCE VM でコマンドを実行する | OCE VM でコマンドを実行する | tenantID、deviceID リスト、スクリプトでコマンドを実行します。 |
| LogCollection 要求を作成する | LogCollection 要求を作成する | Cloud PC へのログ収集要求を作成します。 |
| CMD エージェントカナリア チェックをトリガーします。 | CMD エージェントカナリア チェックをトリガーします。 | 特定のデバイスで CMD エージェントカナリア チェックをトリガーします。 |
| AppHealthPlugin を実行する | AppHealthPlugin を実行する | AppHealthPlugin を実行します。 |
| バックフィル CMD エージェント | AddDevicesToBackfill 操作 | Cloud PC 上の CMD エージェントをバックフィルします。 |
| CMD エージェントを再インストールする | AddDevicesToReinstall 操作 | 必要に応じて CMD エージェントを再インストールします。 |
| CMD エージェントを一括再インストールする | TriggerClientAgentCheckBulkAction 操作 | 必要に応じて CMD エージェントを一括で再インストールします。 |
| ActionModeratorService でリモート アクション操作を作成する | ActionModeratorService でリモート アクション操作を作成する | tenantID、workspaceID、actionType、actionParameters によってリモート アクションを作成します。 |